[2026-05-04] 취약점 진단 도구 ‘Nessus’의 역습... 윈도우 에이전트에서 보안 결함 노출

.

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 취약점 진단 도구 ‘Nessus’ 보안 결함 노출입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

 

 

기사요약

 

보안 기업 테너블(Tenable)의 취약점 진단 솔루션인 윈도우용 네서스 에이전트(Nessus Agent)에서 심각한 로컬 권한 상승(LPE) 취약점이 발견되었다. 시스템을 보호하기 위해 설치된 보안 도구가 오히려 공격자에게 최고 권한을 탈취당하는 백도어로 악용될 수 있는 치명적인 결함으로, 테너블 측은 긴급 패치(11.1.3 버전)를 배포하며 즉각적인 업데이트를 권고하고 있다.

 

네서스 에이전트 (Nessus Agent) : 기업의 워크스테이션이나 핵심 서버에 직접 설치되어, 해당 운영체제와 소프트웨어의 보안 취약점 및 구성 오류를 정기적으로 스캔하고 점검하는 에이전트 기반의 보안 소프트웨어

 

 

 

 

핵심내용1 : 정션(Junction) 악용 및 시스템 권한 탈취

이번 공격은 윈도우 운영체제의 파일 경로 리다이렉션 기능인 정션 또는 심볼릭 링크를 교묘하게 악용한다. 네서스 에이전트는 스캔 작업을 위해 일반 사용자보다 높은 시스템(NT AUTHORITY\SYSTEM) 권한으로 백그라운드에서 동작한다. 공격자는 에이전트가 특정 파일에 접근하려는 찰나의 타이밍을 노려 가짜 정션을 생성하고, 에이전트가 엉뚱한 시스템 핵심 파일을 변조하거나 삭제하도록 유도하여 결과적으로 시스템 최고 권한을 탈취하게 된다.

정션 (Junction) / 심볼릭 링크 (Symbolic Link)
1) 윈도우 운영체제 파일 시스템(NTFS)에서 특정 파일이나 디렉터리 경로를 다른 물리적 경로로 리다이렉션(우회 연결)해주는 기능
2) 이번 취약점에서는 공격자가 이를 악용해 높은 권한을 가진 정상 프로세스가 의도치 않은 시스템 핵심 파일을 조작하도록 유도

 

 

 

 

 

핵심내용2 : 엔터프라이즈 인프라 전반의 위협과 신속한 대응의 필요성

네서스 에이전트는 단순한 단일 PC용 프로그램이 아니라, 기업 내부의 수많은 워크스테이션과 핵심 서버에 광범위하게 배포되어 상시 구동되는 기본 인프라 요소이다. 따라서 단 한 대의 에이전트라도 장악될 경우, 공격자는 이를 이용하여내부망을 타고 측면 이동을 시도하며 기업 전체 환경을 위협할 수 있다. 위협 표면이 넓은 외부망 연결 시스템이나 핵심 자산부터 신속하게 인벤토리를 파악하고 패치를 적용하는 것이 최우선 과제이다.

 

 

 

 

시사점

방어를 위해 높은 권한을 부여받은 보안 에이전트(EDR, 스캐너 등) 자체가 해커들에게 가장 매력적인 타깃이 된다. 솔루션을 도입했다고 맹신할 것이 아니라, 시스템을 지키는 도구 역시 서드파티 리스크 관리 대상으로서 주기적인 모니터링과 무결성 검증을 받아야 한다는 심층 방어 관점의 중요성을 시사한다.

 

 

 

 

개인의견

보안 솔루션 자체의 취약점 대응은 단순히 제조사의 패치를 기다리는 수동적인 태도를 넘어, 능동적인 보안 관제(SOC) 및 위협 헌팅(Threat Hunting) 역량 강화로 이어져야 한다. 엔드포인트 내에서 권한이 높은 프로세스가 비정상적인 심볼릭 링크를 생성하는 등의 이상 행위를 포착할 수 있도록 행위 기반 탐지 원리를 시나리오에 반영해야 한다. 나아가 로컬 권한 상승 후 발생할 수 있는 내부 측면 이동 시도를 평소의 정상 트래픽 기준선과 비교하여 즉각적으로 식별할 수 있는 AI 기반 네트워크 트래픽 자동 탐지 및 차단 아키텍처를 운영하는 것이 이러한 우회 공격의 사각지대를 최소화하는 핵심 방어선이 될 것이다.

 

로컬 권한 상승 (LPE - Local Privilege Escalation) : 로컬 시스템에 제한된 일반 사용자 권한으로 접속한 공격자가 운영체제나 응용 프로그램의 취약점을 악용하여 시스템 관리자(Administrator) 또는 최고 권한(System)을 탈취하는 공격 기법

측면 이동 (Lateral Movement) : 공격자가 최초로 침투에 성공한 단일 시스템에 머물지 않고, 내부망 네트워크를 통해 추가적인 권한을 탈취하며 다른 서버나 워크스테이션으로 점진적으로 접근 범위를 확장해 나가는 해킹 단계

 

 

 

 

기사출처 : https://www.boannews.com/media/view.asp?idx=143402&page=4&kind=3