무슨 일이 일어났나
3월 12일, Veeam이 Backup & Replication 제품의 보안 패치를 긴급 배포했습니다. 총 8건의 CVE가 수정되었고, 가장 심각한 CVE-2026-21666의 CVSS 점수는 9.9입니다.
The Hacker News에 따르면, 이 취약점은 인증된 도메인 사용자(일반 직원 수준)가 백업 서버에서 원격 코드를 실행할 수 있게 합니다. 관리자 권한이 필요 없고, 공격 복잡도도 낮습니다.
현재까지 실제 악용 사례는 보고되지 않았지만, 패치가 공개된 이상 리버스 엔지니어링을 통한 공격은 시간 문제입니다.
기술 상세
8건의 CVE 중 3건이 Critical 등급의 원격 코드 실행(RCE) 취약점입니다.
| CVE | CVSS | 설명 | |-----|------|------| | CVE-2026-21666 | 9.9 | 도메인 사용자 → 백업 서버 RCE | | CVE-2026-21667 | 9.9 | 도메인 사용자 → 백업 서버 RCE | | CVE-2026-21669 | 9.9 | 도메인 사용자 → 백업 서버 RCE |
BleepingComputer에 따르면, 나머지 5건(CVE-2026-21668, -21670, -21671, -21672, -21708)도 각각 권한 상승이나 정보 유출에 해당합니다.
영향을 받는 버전은 v12(12.3.2.4165 이하)와 v13(13.0.1.1071 이하)입니다.
백업 서버가 왜 위험한가
백업 서버는 조직의 데이터 전체 복사본을 보유합니다. 랜섬웨어 공격자들이 가장 먼저 노리는 표적이 바로 백업입니다.
백업이 무력화되면 복구 수단이 사라집니다. 랜섬 지불 압박이 극대화됩니다. CVSS 9.9는 "일반 직원 계정 하나로 백업 서버 전체를 장악할 수 있다"는 뜻입니다.
백업 인프라는 가장 보호되어야 할 시스템인데, 종종 패치 우선순위에서 밀리는 아이러니가 있습니다.
패치 및 대응
- 즉시 패치: v12는 12.3.2.4465로, v13은 13.0.1.2067로 업데이트합니다
- 네트워크 세그멘테이션: 백업 서버를 별도 네트워크 세그먼트에 격리합니다. 일반 도메인 사용자의 직접 접근을 차단합니다
- 백업 서버 접근 모니터링: 백업 서버에 대한 비정상적인 접근 시도를 탐지하는 규칙을 추가합니다
- 오프라인 백업 유지: 네트워크와 분리된 오프라인 백업 사본을 별도로 보관합니다
참고