QNAP QTS 취약점 CVE-2025-66276, CVSS 9.8 긴급 패치 발표
QNAP의 NAS 운영체제 QTS에서 CVSS 9.8점의 치명적 취약점 발견. QTS 5.2.7.3256 이상 버전으로 즉시 업데이트 필요.
https://privacynews.kr/s/2388e6핵심 요약
- QNAP의 NAS 운영체제 QTS에서 CVSS 9.8점(Critical)의 치명적 취약점 CVE-2025-66276 발견 - QuTS hero는 영향받지 않으며, QTS 5.2.7.3256 build 20250913 이상 버전에서 패치 완료 - 원격 코드 실행 가능성이 높은 최고 위험도 취약점으로 즉각적인 패치 적용 필요주요 내용
QNAP Systems는 자사의 NAS(Network Attached Storage) 운영체제인 QTS에서 발견된 치명적 보안 취약점 CVE-2025-66276에 대한 보안 권고안을 발표했다. 이번 취약점은 CVSS 3.x 기준 9.8점으로 평가되어 최고 수준의 위험도를 나타내고 있다.
QNAP 측은 공식 보안 권고안(QSA-25-56)을 통해 QuTS hero 운영체제는 이번 취약점의 영향을 받지 않으며, QTS 사용자들은 5.2.7.3256 build 20250913 이상 버전으로 업데이트할 것을 권고했다. CVSS 점수 9.8점은 공격 복잡도가 낮고(Low), 사용자 상호작용이 필요 없으며(None), 네트워크를 통한 원격 공격이 가능함을 의미한다.
NAS 장비는 기업 및 개인의 중요 데이터를 저장하는 핵심 인프라로, 최근 랜섬웨어 공격의 주요 타깃이 되고 있다. 특히 QNAP 제품은 국내외에서 널리 사용되고 있어, 이번 취약점이 악용될 경우 대규모 데이터 유출 또는 암호화 피해가 발생할 수 있다.
공격자는 인증 없이 원격에서 취약점을 악용할 수 있는 것으로 추정되며, 시스템의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 모두에 높은 영향(High Impact)을 미칠 수 있다. QNAP은 구체적인 취약점 세부사항을 공개하지 않았으나, 이는 패치되지 않은 시스템에 대한 공격을 방지하기 위한 조치로 해석된다.
전문가 시각
ISMS-P 심사 관점에서 볼 때, 이번 사례는 정보자산 관리 및 취약점 관리 통제 항목의 중요성을 재확인시킨다. 특히 개인정보를 저장하는 NAS 장비에 대한 정기적인 보안 업데이트 관리 체계가 미흡할 경우, ISMS-P 인증 심사에서 중대한 미준수 사항으로 지적될 수 있다. 기업은 정보자산 목록에 NAS 장비를 명확히 등재하고, 패치 관리 정책에 따라 30일 이내 긴급 보안 패치를 적용하는 절차를 수립해야 한다.
실무적으로는 패치 적용 전 반드시 전체 백업을 수행하고, 테스트 환경에서 패치 검증 후 운영 환경에 적용하는 단계적 접근이 필요하다. 또한 NAS 장비의 관리 인터페이스를 인터넷에 직접 노출하지 않도록 네트워크 분리 또는 VPN 접근 통제를 적용하고, 접근 로그를 지속적으로 모니터링하여 비정상 접근 시도를 탐지할 수 있는 체계를 구축해야 한다.
영향받는 시스템 및 조치사항
영향받는 시스템: - QTS 5.2.7.3256 build 20250913 이전 버전 - QuTS hero는 영향받지 않음
CVSS 점수 해석 (9.8 Critical): - 공격 벡터(AV): 네트워크(Network) - 원격 공격 가능 - 공격 복잡도(AC): 낮음(Low) - 특별한 조건 불필요 - 권한 요구사항(PR): 없음(None) - 인증 불필요 - 사용자 상호작용(UI): 없음(None) - 사용자 개입 불필요 - 영향도: 기밀성/무결성/가용성 모두 높음(High)
조치사항: 1. QTS 관리 인터페이스 접속 후 '제어판 > 시스템 > 펌웨어 업데이트' 메뉴에서 최신 버전 확인 2. QTS 5.2.7.3256 build 20250913 이상으로 즉시 업데이트 3. 업데이트 전 중요 데이터 백업 수행 4. 업데이트 후 시스템 로그 확인 및 비정상 접근 이력 점검 5. 관리 포트(8080, 443)에 대한 방화벽 규칙 재검토
CPPG·ISMS-P 연계 포인트
1. 취약점 관리 (ISMS-P 2.8.3 정보시스템 취약점 점검 및 조치) CVSS 9.8점의 긴급(Critical) 취약점은 발견 즉시 조치해야 하는 대상이다. ISMS-P 인증기준에 따르면, 치명적 취약점은 발견 후 7일 이내, 최소한 30일 이내 조치를 완료해야 하며, 조치 이력을 문서화해야 한다. 본 취약점처럼 개인정보 저장 장비의 경우 더욱 신속한 대응이 요구된다.
2. 정보자산 관리 및 패치 관리 체계 (ISMS-P 2.5.2 정보자산 식별) NAS와 같은 저장장치는 개인정보가 집중된 핵심 정보자산으로 분류되어야 한다. 정보자산 목록에 제조사, 모델명, OS 버전, 저장 데이터 유형을 명시하고, 책임자를 지정해야 한다. 또한 제조사 보안 권고를 모니터링하는 절차와 긴급 패치 적용을 위한 비상 변경관리 프로세스를 수립하여, 이번과 같은 긴급 상황에 신속히 대응할 수 있어야 한다.
![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)
