ZIP 파일 실행 시 주의! 7-Zip 원격 코드 실행 취약점 발견

by 이스트시큐리티 마케팅팀

 

 

안녕하세요, 이스트시큐리티입니다.

 

파일 압축 해제 프로그램 7-Zip에서 심각한 원격 코드 실행 (RCE) 취약점 두 건이 보고되어 즉시 업데이트가 필요합니다. 이 취약점은Zip 내부의 Linux 스타일 심볼릭 링크 처리 결함을 악용합니다. 압축 해제 과정에서 의도한 디렉토리를 벗어나 시스템의 민감한 위치에 파일을 쓰거나, 특정 조건에서 임의 코드를 실행할 수 있습니다.

 

 

[이미지: 생성형AI 제작]

 

 

 

🔵 7-Zip 취약점, 무엇이 문제인가?

ZDI(Zero Day Initiative)는 이 문제를 '7-Zip ZIP File Parsing Directory Traversal Remote Code Execution Vulnerability'로 보고했으며, ZDI-25-949 / ZDI-CAN-26753으로 식별됩니다. (공식 CVE·패치 공지는 아래 출처 참조)

출처 : https://www.zerodayinitiative.com/advisories/ZDI-25-949/

 

 

해당 취약점은 7-Zip 25.00 버전에서 수정되었으며, 이 버전 미만에서는 디렉터리 탐색(Path Traversal)과 심볼릭 링크 처리가 취약합니다.

 

공격자는 특수하게 조작된 ZIP 아카이브를 제작하여 압축 해제 시 상대경로와 심링크 정보를 악용, 임의의 절대경로 위치에 시스템 파일을 덮어쓰거나 실행 가능한 악성 페이로드를 배치할 수 있습니다. 현재 PoC(개념증명) 코드가 공개되어 있으며, 공격자들이 이를 악용한 스크립트나 자동화 도구를 제작할 가능성이 커졌습니다. 

 

공개된 PoC는 주로 Windows 환경에서 재현되는 것으로 보고되었으며, 관리자 권한·서비스 계정 컨텍스트에서는 성공 가능성이 높아 표적화된 환경에서 특히 위험합니다. p7zip 등 유사 구현을 사용하는 Unix 계열 환경도 배포판별 패치 여부를 확인해야 합니다.

 

 

 

🔵 취약점 세부 정보

 

▪︎ 공식 식별자: ZDI-25-949 / ZDI-CAN-26753

▪︎ CVE: CVE-2025-11001 (등록 대기 중, 관련 항목: CVE-2025-11002)

▪︎ CVSS: High (공식 벡터값 미확정)

▪︎ 영향 버전: 7-Zip 21.02 ~ 24.09

▪︎ 패치: Fixed in 7-Zip 25.00

▪︎ 공개/권고 일정: 신고(2025-05-02) → 공동 공지 및 권고(2025-10-07)

▪︎ 보고자: Ryota Shiga (GMO Flatt Security Inc.) 및 takumi-san.ai

 

 

 

 

🔵 위험성 및 권장 조치 항목

▪️우선 위험군

개발자 PC, CI/CD 빌드 서버, 파일서버 및 자동 추출 서비스, 관리자나 서비스 계정이 사용되는 워크스테이션

 

▪️운영체제

Windows 환경에서 주로 보고되었으나, p7zip 등 유사 추출 로직을 포함한 Linux/Unix 패키지도 패치 필요

 

▪️악용 가능성

PoC 공개로 인해 표적화된 공격에서 악용될 가능성이 커졌으며, 대규모 자동화보다는 정조준형 내부 침투에 악용될 가능성이 높음

 

 

💡 조치 권장 사항

1. 즉시 업데이트
7-Zip을 25.00 이상으로 업데이트하십시오.

 

2. 신뢰되지 않는 아카이브 열지 않기
이메일 첨부 또는 출처 불명 ZIP은 발신자 확인 후에만 열람하세요.

 

3. 자동화 시스템 격리
CI/CD, 파일서버, 빌드 에이전트 등 자동 압축 해제 워크플로는 패치 완료 전까지 일시 중단하거나 격리 환경(임시 VM/컨테이너)에서만 실행하세요.

 

4. 심볼릭 링크 옵션 비활성화
업데이트가 즉시 불가능하면 심볼릭 링크 보존 옵션을 비활성화하거나 심볼릭 링크를 무시하는 안전 추출 도구를 사용하세요.

 

5. 특권 분리
관리자 권한으로 7-Zip을 실행하지 않도록 통제하고, 서비스 계정을 엄격히 관리하세요.

 

6. AV·EDR 최신화 및 모니터링
안티바이러스 및 EDR 시그니처를 최신 상태로 유지하고, 의심 아카이브 관련 로그를 주기적으로 모니터링하세요.

 

 

 

🔵 기업 보안 담당자를 위한 10분 점검 체크리스트

☑︎ 7-Zip 설치 버전 현황 조사 및 25.00 미만 버전 긴급 업데이트

☑︎ 자동 추출 워크플로 파악 및 격리·스캔 규칙 강화

☑︎ 로그 모니터링: “../” 경로 이탈, reparse point(심볼릭 링크) 생성 탐지

☑︎ 권한 관리: 관리자·서비스 계정 실행 이력 점검

☑︎ 전사 공지: 의심 ZIP 격리 및 발신자 확인 절차 공지

 

 

 

🔵 탐지 및 대응 포인트

탐지 지표

압축 해제 직후 Desktop, C:\Windows\System32, UNC 경로 등에 생성된 실행 파일, 심볼릭 링크(reparse point) 생성 이벤트, 아카이브 내부의 상대경로(../../) 패턴을 주의 깊게 살펴보세요.

 

EDR 경보 예시

7z.exe 또는 압축 해제 관련 프로세스가 사용자 프로필에 실행 파일을 생성할 때 알람을 설정하세요.

 

대응 절차

의심 파일 발견 시 격리 저장소로 이동한 후, 오프라인 샌드박스(격리 환경)에서 분석하세요. PoC 및 익스플로잇 유무를 확인하고, 동일 아카이브 수신자와 추출 로그 기반으로 영향 범위를 조사한 후 패치와 정책 보완 및 사용자 공지를 실시하세요.

 

💡 왜 지금 패치해야 하는가? PoC 공개로 악성 활용 가능성이 즉시 증가했습니다. 자동화된 ZIP 처리 환경(CI, 파일서버 등)은 대규모 확산의 진입점이 될 수 있으며, 특히 관리자 권한 환경에서는 피해 범위가 급격히 확대됩니다.

 

 

 

 

7-Zip은 전 세계적으로 널리 사용되는 압축 도구이며, 자동 업데이트 기능이 기본 활성화되지 않아 수동 업데이트가 필수입니다. 즉시 전체 시스템의 7-Zip 버전을 점검하고, 25.00 이상으로 업데이트하거나, 미패치 장비의 압축 해제를 제한하세요.

 

PoC가 공개된 지금이 바로 대응의 골든타임입니다. 최대한 빠르게 업데이트와 점검을 완료하는 것이 최선의 방어입니다. 

 

 

 

 

 

 

---

 

[참고 출처]

- ZDI Advisory: '7-Zip ZIP File Parsing Directory Traversal Remote Code Execution Vulnerability (CVE-2025-11001)'

- PoC 공개 리포트 및 보안 연구자 권고

- 기술 분석 (Tom's Hardware, SOC Prime 등)

- GitHub PoC 노트 및 재현 정보

- 배포판별 패치 상황 보고서(Tenable, Snyk 등)