IT

Dell RecoverPoint CVE-2026-22769 제로데이: UNC6201 악용 핵심 사실과 SOC/IR 즉시 대응 가이드

작성자:

Dell RecoverPoint CVE-2026-22769는 Google Threat Intelligence Group(GTIG)과 Mandiant가 2026-02-17 공개한 실제 악용 중인 제로데이 이슈다. 이 글은 2026-02-18 10:00 KST 기준으로, 공개 소스에서 확인된 사실만 사용해 무엇이 일어났고 왜 중요한지, 그리고 SOC/IR 팀이 지금 무엇을 해야 하는지 정리한다.

TL;DR

  • 취약점: CVE-2026-22769, Dell RecoverPoint for Virtual Machines의 하드코딩 자격증명 이슈, CVSS 10.0.
  • 공격 그룹/활동: GTIG는 UNC6201(중국 연계 의심 클러스터)이 최소 2024년 중반부터 해당 취약점을 악용했다고 밝혔다.
  • 영향: 측면 이동, 지속성 확보, SLAYSTYLE·BRICKSTORM·GRIMBOLT 계열 악성코드 배치가 확인됐다.
  • 즉시 조치: 취약 버전 식별, 외부 노출 차단, Tomcat Manager 배포 로그 점검, Dell 권고(6.0.3.1 HF1 업그레이드 또는 스크립트) 우선 적용.

배경

Google Cloud 보안 블로그에 따르면, 조사 과정에서 Dell RecoverPoint for Virtual Machines 장비에서 BRICKSTORM 및 GRIMBOLT C2 활동이 관찰됐고, 분석 중 하드코딩된 기본 자격증명을 통해 Tomcat Manager 악용이 가능하다는 점이 확인됐다. Dell도 별도 보안 권고문(DSA-2026-079)에서 제한적 실제 악용 사례를 인지했으며 즉시 완화를 권고했다.

확인된 사실

  • UNC6201은 해당 취약점을 최소 2024년 중반부터 악용(소스: GTIG/Mandiant).
  • 악성 WAR 배포 경로로 /manager/text/deploy가 악용 정황으로 제시됨.
  • 지속성은 convert_hosts.sh 수정(부팅 시 실행 경로) 방식이 보고됨.
  • 신규 백도어 GRIMBOLT는 C# Native AOT 컴파일 방식으로 분석 난도를 높이는 특성이 설명됨.

미확인/주의 사항

  • 초기 침투(Initial Access) 벡터는 본 사건들에서 확인되지 않았다.
  • UNC6201과 UNC5221(일부 공개 보고서의 Silk Typhoon 명칭과 연계)의 중첩은 언급됐지만, GTIG는 두 클러스터를 동일하다고 단정하지 않았다.

Dell RecoverPoint CVE-2026-22769가 왜 중요한가

1) 공격 성립 조건이 낮고 파급이 크다

Dell 권고문은 이 이슈를 인증 없는 원격 공격자(자격증명 인지 시)가 악용 가능하다고 설명한다. 성공 시 기저 운영체제 수준의 무단 접근과 root 수준 지속성으로 이어질 수 있어, 단순 애플리케이션 취약점보다 운영 영향이 크다.

2) 침해 지점이 백업/복구 인프라라는 점이 치명적이다

RecoverPoint for VMs는 가상화 환경의 핵심 데이터 보호 계층에 위치한다. GTIG는 해당 장비 악용 이후 측면 이동과 VMware 인프라 피벗(예: Ghost NIC 생성, vCenter에서의 iptables 기반 우회성 프록시 동작 관찰)을 보고했으며, 이는 침해 범위 확장 위험을 높인다.

3) 탐지 회피와 지속성이 결합되어 있다

보고된 행위는 WAR 배포형 웹셸, 부팅 스크립트 변조 지속성, 백도어 교체(BRICKSTORM→GRIMBOLT)를 포함한다. 즉, 단일 IOC 차단만으로는 부족하고 로그·파일무결성·네트워크를 함께 보는 다층 탐지가 필요하다.

영향 시스템/버전과 리스크

Dell DSA-2026-079 기준, RecoverPoint for Virtual Machines 6.0.3.1 HF1 이전 버전이 영향권으로 제시됐다. 또한 5.3 SP4/SP3/SP2 및 잠재적으로 더 이른 버전도 영향 가능성이 언급됐다.

  • 명시된 영향 버전: 5.3 SP4 P1, 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3, 6.0 SP3 P1
  • 권고 조치: 6.0.3.1 HF1 업그레이드 또는 Dell 완화 스크립트 적용
  • 비영향 제품: Dell 안내상 RecoverPoint Classic(물리/가상 어플라이언스)은 영향 없음

리스크를 키우는 운영 조건(개념 수준)

  • 관리 인터페이스가 광범위 네트워크에서 접근 가능할 때
  • Tomcat Manager 관련 이상 배포 이벤트 모니터링이 없을 때
  • 가상화 관리 영역(vCenter/ESXi)과 백업 영역의 분리가 약할 때

탐지 포인트(로그/IOC)

1) Dell RecoverPoint/Tomcat 로그 우선 점검

  • /home/kos/auditlog/fapi_cl_audit_log.log에서 /manager 요청 검색
  • PUT /manager/text/deploy?path=/&update=true 요청 여부 확인(잠재적 악성)
  • WAR 저장 경로 /var/lib/tomcat9, 컴파일 산출물 /var/cache/tomcat9/Catalina 점검
  • /var/log/tomcat9/org.apache.catalina.startup.HostConfig.deployWAR 이벤트 확인

2) 지속성/변조 흔적 점검

  • /home/kos/kbox/src/installation/distribution/convert_hosts.sh 변조 여부 확인
  • 부팅 시 비정상 프로세스·경로 실행 여부를 무결성 기준선과 비교

3) 네트워크 및 파일 IOC 헌팅

  • C2: wss://149.248.11.71/rest/apisession, 149.248.11.71
  • 예시 SHA256: 24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0c (GRIMBOLT), dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591 (GRIMBOLT), 92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624a (SLAYSTYLE)

IOC는 우선순위 헌팅 시드로 유용하지만, 인프라별 변형 가능성을 고려해 행위 기반 탐지(배포 이벤트·스크립트 변조·비정상 포트/리다이렉션)와 함께 운영해야 한다.

SOC/IR 대응 체크리스트(우선순위)

P0 (지금~4시간)

  • 자산 식별: RecoverPoint for VMs 운영 대수, 버전, 네트워크 노출 구간 목록화
  • 노출 축소: 불필요한 관리면 접근 차단, 외부/비신뢰망 접근 즉시 제한
  • 긴급 헌팅: 위 로그 경로·엔드포인트·WAR 산출물·convert_hosts.sh 변조 여부 확인
  • 보존: 디스크 이미지/로그 보존(사후 포렌식 대비), 임의 정리 금지

P1 (24시간 이내)

  • Dell 권고 이행: 6.0.3.1 HF1 업그레이드 또는 공식 완화 스크립트 적용
  • 5.3 SP4 P1 환경은 Dell 가이드에 따라 6.0 SP3 경유 후 상위 버전으로 전환
  • vCenter/ESXi 점검: 비정상 NIC 추가(Ghost NIC 정황), 비정상 iptables 리다이렉션 흔적 확인
  • 감염 징후 발견 시: 단순 패치로 종결하지 말고 침해사고 대응 프로세스(격리-분석-근절-복구)로 전환

P2 (7일 이내)

  • 네트워크 아키텍처 보강: Dell 권고대로 신뢰 내부망·세분화된 방화벽 정책 적용
  • 탐지 룰 정비: Tomcat 원격 배포, 캐시 디렉터리 쓰기, 배포 스크립트 변조 이벤트를 상시 경보화
  • 재발 방지: 관리 계층(백업/가상화/ID) 분리, 로그 보존 기간·무결성 검증 절차 강화

FAQ

Q1. 우리 환경이 당장 영향받는지 가장 빨리 확인하는 방법은?

RecoverPoint for Virtual Machines 버전이 6.0.3.1 HF1 미만인지 먼저 확인하면 된다. 특히 Dell이 명시한 5.3 SP4 P1 및 6.0 계열(SP/P 포함)은 우선 점검 대상이다.

Q2. 이 이슈의 초기 침투 경로는 밝혀졌나?

아니다. GTIG는 사건들에서 초기 침투 벡터가 확인되지 않았다고 명시했다. 따라서 어디서부터 뚫렸는지 단정하지 말고, 관측된 악용/지속성 흔적 중심으로 조사 범위를 넓혀야 한다.

Q3. 패치만 하면 종료해도 되나?

활성 침해 징후가 없다는 전제가 필요하다. 악성 WAR 배포, 스크립트 변조, C2 통신 흔적이 보이면 패치와 별개로 IR 절차를 병행해야 안전하다.

Q4. RecoverPoint Classic도 같은 위험인가?

Dell 권고문은 RecoverPoint Classic(물리/가상 어플라이언스)은 해당 이슈 영향 대상이 아니라고 안내한다.

Q5. SOC에서 가장 먼저 볼 로그는?

/home/kos/auditlog/fapi_cl_audit_log.log/manager 요청, /var/log/tomcat9/의 WAR 배포 이벤트, 그리고 convert_hosts.sh 변조 여부를 우선순위 1로 권장한다.

참고 링크

댓글 남기기

이 사이트는 Akismet을 사용하여 스팸을 줄입니다. 댓글 데이터가 어떻게 처리되는지 알아보세요.