CVE-2026-3502 취약점은 TrueConf Windows 클라이언트 8.5.3.884 이하 버전에 영향을 미치는 심각한 보안 결함입니다. 이 취약점을 해결하기 위해서는 최신 8.5.3 이상(패치 적용 버전)으로 즉시 업데이트하여 무결성 검증 기능을 활성화해야 합니다. 본 가이드에서는 공식 패치 적용 전략과 함께, 즉시 실행 가능한 임시 완화 조치를 상세히 제공합니다.
CVE-2026-3502 개요 및 공격 원리
CVE-2026-3502는 TrueConf Windows 클라이언트의 업데이트 메커니즘에서 발견된 제로데이 취약점입니다. CVSS v3 기준 7.8(High) 등급을 기록했으며, 현재 CISA KEV(Kept Exploited Vulnerabilities) 카탈로그에 등재되어 긴급 대응이 필요한 상황입니다.
해당 취약점은 ‘Operation TrueChaos’ 캠페인의 일환으로 중국계 위협 행위자에 의해 실제로 악용되고 있습니다. 공격자는 온프레미스 TrueConf 서버를 장악한 후 변조된 업데이트 파일을 배포하여 클라이언트 PC에 악성코드를 설치합니다. 주요 타겟은 정부 기관, 군사 시설, 핵심 인프라 등이며 전 세계 10만 개 이상의 조직이 영향권에 있습니다.
공격 기술적 프로세스 분석
공격자는 신뢰할 수 있는 업데이트 경로를 공격 경로로 활용합니다. 공격 흐름은 다음과 같습니다.
- 서버 장악 및 파일 변조: 공격자가 온프레미스 TrueConf 서버에 침투하여 업데이트 저장소(
ClientInstFiles) 내의 파일을 악성 파일로 교체합니다. - 악성 업데이트 다운로드: 클라이언트가 정상 업데이트로 위장한 악성 패키지를 서버로부터 다운로드받습니다.
- DLL 사이드로딩 및 악성코드 실행: 악성 업데이트는 Inno Setup 패키지 형태로 위장되며,
c:\programdata\poweriso\경로에 악의적인7z-x64.dll과 정상poweriso.exe를 배포합니다. 이후 DLL 사이드로딩을 통해 Havoc 페이로드가 실행됩니다. - C2 통신 및 지속성 확보: 감염된 시스템은 레지스트리 조작을 통해 UAC를 우회하고, Havoc C2 서버(43.134.90[.]60 등)와 통신하며 정찰 활동을 전개합니다.
CVE-2026-3502 영향 받는 버전 및 패치 대응 방법
이번 취약점은 주로 온프레미스 환경에서 자체 관리형 서버를 운영하는 조직에 위협이 됩니다. 폐쇄망이나 보안망 환경에서도 서버 관리자가 업데이트 파일을 직접 관리하므로, 변조된 파일 배포 위험에 주의해야 합니다.
아래 표는 CVE-2026-3502의 영향 범위와 조치 방안을 정리한 것입니다.
| 구분 | 버전 정보 | 상태 및 조치 |
|---|---|---|
| 취약 버전 | TrueConf Windows 클라이언트 8.5.3.884 이하 | 매우 취약함 즉시 패치 또는 완화 조치 필수 |
| 패치 버전 | TrueConf Windows 클라이언트 8.5.3 이상 (무결성 검증 패치 적용 릴리스) |
안전함 업데이트 패키지 무결성 검증 기능 탑재 |
| 영향 환경 | 온프레미스 TrueConf Server 구성 환경 | 서버 장악 시 변조된 업데이트 유포 가능성 존재 |
공식 패치 적용 전략
CVE-2026-3502에 대한 근본적인 해결책은 소프트웨어 업데이트입니다. 관리자는 다음 절차에 따라 조치를 수행해야 합니다.
- 클라이언트 긴급 업데이트: 모든 TrueConf Windows 클라이언트를 최신 버전인 8.5.3 이상으로 업그레이드하십시오. 해당 버전부터는 업데이트 패키지의 디지털 서명 및 무결성 검증이 강화되어 변조된 파일 설치를 원천 차단합니다.
- 서버 관리자 검증: 서버 관리자는 서버 측 업데이트 파일의 출처를 확인하고, 디지털 서명이 유효한지 반드시 검증해야 합니다. 관리자 권한 탈취를 방지하기 위해 강력한 접근 제어와 감사 로그(Audit Log)를 활성화하십시오.
- 자가 취약점 점검: GitHub 등에 공개된 CVE-2026-3502 스캐너를 활용하여 조직 내 취약한 버전의 클라이언트 존재 여부와 TrueChaos 공격의 징후(IOC)를 확인하는 것을 권장합니다.
임시 완화 조치 및 검출/헌팅 가이드
공식 패치를 즉시 적용하기 어려운 환경에서는 다음의 임시 완화 조치를 우선적으로 적용해야 합니다. 전문가들은 “무결성 검증이 없는 업데이트 메커니즘이 악성코드 유포 경로가 될 수 있음”을 경고하며 다음 조치들을 강조하고 있습니다.
1. 네트워크 및 서버 접근 제어
- 서버 접근 최소화: TrueConf 온프레미스 서버에 대한 관리자 접근을 필수 인원으로 제한하고, 불필요한 포트를 차단하여 공격자의 초기 침투 및 서버 장악 위험을 낮춰야 합니다.
- 자동 업데이트 비활성화: 패치 적용 전까지는 클라이언트의 자동 업데이트 기능을 일시 중지(Disable)합니다. 수동으로 업데이트를 진행할 때는 반드시 실행 파일(
trueconf_windows_update.exe)의 디지털 서명을 유효성을 확인한 후 실행해야 합니다.
2. IOC(침해 지표) 모니터링 및 대응
시스템이 이미 감염되었는지 확인하기 위해 아래 파일 및 레지스트리 경로를 점검하십시오. 의심스러운 징후가 발견되면 즉시 해당 시스템을 네트워크에서 격리하고 포렌식 분석을 실시해야 합니다.
주요 IOC 목록:
- 파일 경로:
c:\programdata\poweriso\poweriso.exe - 악성 파일:
update.7z,7za.exe,iscsiexe.dll,rom.dat - 레지스트리 키:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateCheck - 비정상 프로세스:
trueconf.exe→trueconf_windows_update.exe→ 임의 실행 파일;poweriso.exe실행 후cmd.exe를 통해curl,winrar.exe,netstat등이 연쇄적으로 실행되는 현상
| 점검 항목 | 세부 내용 | 대응 방안 |
|---|---|---|
| 의심 파일 | ProgramData 폴더 내 poweriso 관련 파일 | 파일 즉시 삭제 및 프로세스 종료 |
| 레지스트리 | Run 키에 등록된 UpdateCheck 값 | 레지스트리 값 삭제 및 자동 실행 방지 |
| 네트워크 | Havoc C2 서버(43.134.90.x 등)와의 통신 시도 | 관련 IP 및 도메인 방화벽 차단 |
결론: 지금 당장 점검하고 업데이트하세요
CVE-2026-3502는 단순한 소프트웨어 오류가 아닌, 정부 및 핵심 인프라를 노린 지속적인 공격 캠페인(Operation TrueChaos)에 악용되고 있는 심각한 위협입니다. 이미 야생에서 활발히 악용되고 있으므로, 보안 관리자는 즉각적인 행동에 나서야 합니다.
가장 확실한 대응책은 8.5.3.884 이하 버전을 사용 중인지 확인하고, 최신 보안 패치를 적용하는 것입니다. 패치 적용이 지연된다면 자동 업데이트를 중단하고, 본 문서에 제시된 IOC 목록을 활용해 감염 여부를 면밀히 점검하십시오.
지금 바로 조직 내 TrueConf 버전을 확인하고, 변조된 업데이트로부터 시스템을 보호하기 위해 업데이트 전략을 수립하십시오. 보안 패치는 선택이 아닌 필수입니다.