[Security] CVE-2026-6973: Ivanti EPMM 제로데이 RCE, CISA 패치 기한은 5월 10일

Posted May 8, 2026

By Jung Woojin

12 min read

서론

2026년 5월 7일, Ivanti가 자사의 Endpoint Manager Mobile(EPMM) 제품에서 심각한 취약점이 실제 공격에 활용되고 있다고 공식 경고했다. CVE-2026-6973으로 등록된 이 취약점은 인증된 원격 공격자가 임의 코드를 실행할 수 있는 RCE 취약점으로, CVSS 기본 점수는 7.2다.

Ivanti는 보안 업계에서 익숙한 이름이다. 지난 수년간 EPMM, Connect Secure, Pulse Connect Secure 등 다양한 제품에서 연이어 취약점이 발견됐고, 실제 국가 지원 해킹 그룹들의 공격 벡터로 활용된 이력이 있다. 이번 CVE-2026-6973도 같은 맥락에서 이해할 필요가 있다.

특히 주목할 점은 Ivanti 측이 경고에서 언급한 내용이다: “AI 모델의 발전으로 취약점 공개 후 실제 익스플로잇까지의 시간 간격이 수일에서 수 시간으로 급격히 단축됐다.” 단순한 취약점 경보가 아니라, AI가 사이버 공격 환경 자체를 바꾸고 있다는 업계 전반의 우려를 공식적으로 인정한 발언으로 받아들여지고 있다.

CISA(미국 사이버보안·인프라 보안국)는 이 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 추가하고, 연방 기관에 2026년 5월 10일까지 패치 완료를 의무화했다. 공시 이틀 만에 나온 촉박한 기한이다.

본론

취약점 개요

항목	내용
CVE ID	CVE-2026-6973
CVSS 기본 점수	7.2 (High)
영향 제품	Ivanti Endpoint Manager Mobile (EPMM) 온프레미스 버전
취약 버전	EPMM 12.8.0.0 이하
공격 유형	원격 코드 실행(RCE)
인증 요건	인증 필요 (관리자 권한)
익스플로잇 상태	제한적 실제 공격 확인

취약점의 기술적 원인은 부적절한 입력 유효성 검사(Improper Input Validation)다. 원격으로 관리자 권한을 가진 공격자가 이 결함을 통해 대상 시스템에서 임의 코드를 실행할 수 있다. “인증 필요”라는 조건이 있지만, 이것이 위험도를 크게 낮추지는 않는다. 관리자 계정 탈취는 피싱, 크리덴셜 스터핑 등 다양한 경로로 이뤄질 수 있고, 실제로 이전 Ivanti 취약점들도 관리자 계정 탈취 이후 연쇄 공격의 형태로 악용된 사례가 많다.

함께 패치된 취약점들

이번 보안 업데이트에서 CVE-2026-6973 외에 네 가지 추가 취약점이 함께 수정됐다:

CVE	설명
CVE-2026-5786	관리자 접근 권한 획득
CVE-2026-5787	등록된 Sentry 호스트 위장으로 유효한 CA 서명 클라이언트 인증서 획득
CVE-2026-5788	임의 메서드 호출
CVE-2026-7821	제한된 정보에 대한 접근

이 취약점들은 단독으로도 위험하지만, 연쇄 악용(chaining) 시 피해 범위가 크게 확대된다. 예를 들어 CVE-2026-5786으로 관리자 권한을 획득한 뒤 CVE-2026-6973으로 임의 코드를 실행하는 시나리오는 충분히 현실적이다.

패치 버전

Ivanti는 다음 버전으로 업그레이드할 것을 권고한다:

EPMM 12.6.1.1 이상
EPMM 12.7.0.1 이상
EPMM 12.8.0.1 이상

현재 12.8.0.0 이하 버전을 운영 중이라면 즉시 업그레이드가 필요하다. 해당 버전으로의 업그레이드 경로는 Ivanti 공식 지원 문서에서 확인할 수 있다.

영향 범위: 온프레미스만 해당

중요한 제한 사항이 있다. 이번 취약점들은 EPMM 온프레미스 버전에만 영향을 미친다. Ivanti의 클라우드 기반 통합 엔드포인트 관리 솔루션인 Ivanti Neurons for MDM은 영향을 받지 않으며, Ivanti EPM, Ivanti Sentry, 기타 Ivanti 제품도 마찬가지다.

이 점은 실제 영향 범위 산정에서 중요하다. 클라우드 전환이 상당 부분 이뤄진 환경에서는 위험이 제한적일 수 있다. 그러나 금융, 의료, 공공 부문 등 규제 환경에서는 여전히 온프레미스 EPMM을 운영하는 곳이 많고, 이런 환경은 공격 대상으로서의 가치가 더 높다는 점에서 우려가 크다.

AI가 익스플로잇 속도를 바꾸고 있다

Ivanti의 공식 보안 경고에서 특히 눈길을 끄는 부분이 있다. Ivanti는 “고급 AI 모델이 취약점 공개 후 익스플로잇까지의 시간 간격을 수일에서 수 시간으로 단축시켰다”고 명시했다. 이는 기업이 공식 취약점 공지에서 AI의 악용 가능성을 직접적으로 언급한 드문 사례다.

전통적으로 보안 업계는 “책임 있는 공개(responsible disclosure)” 이후 조직이 패치를 배포하기까지 평균 수일에서 수십 일의 시간이 있다고 가정해 왔다. 그러나 AI 기반 코드 분석 도구들이 CVE 정보와 패치 diff를 분석해 익스플로잇 코드를 자동으로 생성할 수 있게 되면서, 이 가정이 무너지고 있다는 우려가 커지고 있다.

보안 연구자들 사이에서는 “패치 배포 후 익스플로잇 공개까지의 시간(patch-to-exploit window)”이 AI로 인해 구조적으로 단축되고 있다는 공감대가 형성되고 있다. 이번 Ivanti의 언급은 벤더 스스로 이 현실을 인정했다는 점에서 업계에 시사하는 바가 크다.

Ivanti와 반복되는 EPMM 취약점

Ivanti EPMM은 기업 환경에서 모바일 기기를 중앙 관리하는 MDM(Mobile Device Management) 솔루션이다. 스마트폰, 태블릿, 노트북 등 엔드포인트 기기의 정책 배포, 앱 관리, 보안 설정을 담당한다.

이 제품에서 취약점이 발견된 것이 이번이 처음은 아니다. 2023년 CVE-2023-35078(인증 우회, CVSS 10.0)을 시작으로, 이후로도 EPMM 관련 고위험 CVE가 꾸준히 등장했다. 미국 CISA와 노르웨이 국가사이버보안센터(NCSC)는 CVE-2023-35078이 정부 기관을 대상으로 실제 공격에 활용됐다고 확인한 바 있다.

이런 맥락에서 보안 커뮤니티 일부에서는 “Ivanti 제품의 근본적인 보안 아키텍처에 대한 재검토가 필요한 것 아니냐”는 목소리가 나오고 있다. 개별 취약점 패치로 대응하는 방식의 한계를 지적하는 것이다.

대응 우선순위 체크리스트

운영 환경에서 EPMM을 사용하는 조직이라면 다음 순서로 대응을 검토해야 한다:

1. 현재 EPMM 버전 확인
   → 12.8.0.0 이하라면 즉시 업그레이드 대상

2. 관리자 계정 접근 로그 검토
   → 최근 30일간 비정상 로그인 시도 확인

3. 패치 버전으로 업그레이드 계획 수립
   → CISA 기한 기준 5월 10일; 연방 기관 아닌 경우도 즉시 적용 권장

4. 네트워크 수준 접근 제한 검토
   → EPMM 관리 포털을 신뢰할 수 있는 IP 대역으로만 제한

5. 관련 CVE(5786, 5787, 5788, 7821) 동시 패치 여부 확인

정리

CVE-2026-6973은 Ivanti EPMM 온프레미스 버전의 RCE 취약점으로, CVSS 7.2의 고위험 등급이다.
제한적이지만 실제 공격 활용이 확인됐으며, CISA는 연방 기관에 5월 10일까지 패치를 의무화했다.
패치 버전은 12.6.1.1, 12.7.0.1, 12.8.0.1 이상이며, 클라우드 기반 Ivanti Neurons for MDM은 영향을 받지 않는다.
Ivanti가 공식 경고에서 “AI가 익스플로잇 속도를 단축시켰다”고 명시한 점은 업계 전반에서 주목받고 있다.
CVE-2026-5786, 5787, 5788, 7821도 함께 수정됐으며, 이 취약점들은 연쇄 악용 시 피해 범위가 확대될 수 있다.
Ivanti EPMM에서 반복적으로 고위험 취약점이 발견되고 있어, 온프레미스 EPMM 운영 조직은 클라우드 전환 타당성을 재검토할 필요가 있다.
AI 기반 익스플로잇 자동화 위협이 현실화되면서, 패치 배포 주기 단축이 업계 전반의 화두로 떠오르고 있다.

Reference

Security

This post is licensed under CC BY 4.0 by the author.