최근 N-able N-central에서 발견된 두 가지 치명적인 보안 취약점(CVE-2025-8875, CVE-2025-8876)이 실제 공격에 악용되고 있어 전 세계 MSP(Managed Service Provider)와 IT 부서에 심각한 위협을 가하고 있다. N-central은 MSP와 IT 팀이 네트워크와 단말기를 중앙에서 원격으로 모니터링하고 관리할 수 있도록 지원하는 RMM(Remote Monitoring and Management) 플랫폼이다. 미국 사이버보안청(CISA)은 해당 취약점을 Known Exploited Vulnerabilities (KEV) Catalog에 추가하며, 연방기관에 긴급 패치를 명령한 상황이다.
본 글에서는 취약점 개요와 위협 현황을 살펴보고, Criminal IP를 활용한 탐지 및 대응 방안을 제시한다.
CVE-2025-8875, CVE-2025-8876 취약점 개요
- CVE-2025-8875 (Command Injection)
- 사용자 입력 검증이 부실하여, 인증된 공격자가 시스템 명령어를 주입할 수 있는 취약점
- CVE-2025-8876 (Insecure Deserialization)
- 안전하지 않은 역직렬화 로직을 악용해 원격에서 임의 명령어를 실행할 수 있는 취약점
두 취약점은 모두 권한 상승 및 원격 명령 실행으로 이어질 수 있어, 공격자가 N-central 서버와 연결된 MSP 고객사 자산까지 침해할 수 있다는 점에서 심각하다.
N-able은 2025.3.1 버전에서 보안 패치를 배포했으며, 아직 업데이트하지 않은 환경은 즉시 조치가 필요하다.
N-central Zero-Day 위협 현황: 전 세계 2,140개 서버 노출
Criminal IP의 Asset Search 기능을 활용하면, 공격자가 노리는 대상과 동일한 조건의 장비를 빠르게 탐지할 수 있으며, 특정 N-central 서버의 상세 페이지를 분석해 실제로 어떤 보안 위험이 존재하는지 구체적으로 확인할 수 있다. 아래는 Asset Search 기능을 통해 분석한 주요 보안 이슈들이다.
Criminal IP Search Query: title: “N-central Login Redirect”
Criminal IP Asset Search 결과에 따르면, title: “N-central Login Redirect” 쿼리 기반 검색에서 총 2,140건의 N-central 자산이 탐지되었다.
탐지된 2천여 개의 자산 중에는 2025.3.1 버전 업그레이드가 되지 않은 서버가 포함되어 있다. 공격자가 실제로 스캔을 통해 접근 가능한 관리 서버들이 여전히 다수 존재한다는 점을 의미한다.
Criminal IP는 기본 검색 결과 외에도 국가·지역 단위로 세분화된 Element Analysis 정보를 제공하며, 우측 하단의 더보기 버튼을 클릭하면 해당 결과를 확인할 수 있다.
검색된 N-central 서버를 보유한 국가는 총 20개 이상이 탐색되었고, 이 중 가장 많은 서버가 확인된 국가는 미국으로 총 873건이 발견되었다. 그 뒤를 이어 독일(230건), 호주(193건), 네덜란드(183건), 영국(169건)이 상위 5개국을 차지하고 있다. 이는 특정 지역의 MSP 및 기업 환경에서 N-central이 광범위하게 사용되고 있음을 보여주며, 패치가 지연될 경우 CVE-2025-8875 및 CVE-2025-8876 같은 Zero-Day 취약점 공격에 집중적으로 악용될 위험이 크다는 점을 시사한다.
Criminal IP 기반 N-central Zero-Day(CVE-2025-8875·8876) 자산 탐지 및 대응 분석
단순 검색 결과를 넘어, 특정 N-central 서버의 세부 리포트를 열어보면 어떤 위험 요소들이 존재하는지 더욱 구체적으로 확인할 수 있다.
Criminal IP의 IP 주소 상세 리포트에서 확인된 한 N-central 서버는 Self-Signed SSL 인증서를 사용하고 있었으며, 이는 신뢰할 수 없는 인증 체계를 의미해 공격자에게 취약 지점으로 악용될 수 있다.
또한, 총 10개의 오픈 포트(Open Ports)와 5개의 취약점(Vulnerabilities)이 확인되었는데, 이는 공격자가 침투할 수 있는 다양한 경로를 제공한다.
해당 서버의 TCP 443(HTTPS) 포트는 “N-central Login Redirect” 타이틀로 외부에 그대로 노출되어 있었다. 이는 공격자가 직접 로그인 페이지에 접근해 인증 우회나 취약점 기반 공격을 시도할 수 있음을 보여준다. 특히 CVE-2025-8875(Command Injection)나 CVE-2025-8876(Insecure Deserialization) 같은 취약점이 결합될 경우, 원격 제어 권한 탈취로 이어질 수 있다.
Criminal IP는 취약점과 연계된 공개 PoC(Proof-of-Concept) 코드 존재 여부도 제공한다. 이는 공격자들이 실전 공격에 손쉽게 활용할 수 있는 도구로 변질된다. 따라서 단순히 포트가 열려 있는 것뿐 아니라, 이미 공격 재현 코드가 공개되었는지 여부까지 확인하는 것이 중요하다.
N-central Zero-Day의 대응 방안
- 즉시 패치 적용
- N-central 2025.3.1 버전 이상으로 업데이트
- 벤더 권고에 따른 보안 설정 강화
- 노출 자산 점검
- Criminal IP를 활용한 title: “N-central Login Redirect” 검색
- SSL 인증서 및 버전 기반 필터링을 통해 미패치 서버 식별
- 보안 모니터링 강화
- 서버 로그 점검 및 비정상 명령 실행 탐지
- 인증되지 않은 계정 생성 여부 확인
- 대안 마련
- 패치 불가 시 인터넷 노출 차단 및 서비스 중단 고려
결론
N-able N-central은 수많은 MSP와 IT 부서에서 사용되는 핵심 관리 플랫폼으로, 이번 취약점 악용은 단일 서버 침해를 넘어 연쇄적인 공급망 공격으로 확산될 수 있다.
관리자는 패치 지연에 따른 위험이 MSP 고객사 전체로 확대될 수 있다는 점을 인식하고, 즉각적인 보안 조치를 취해야 한다. Criminal IP와 같은 공격 표면 관리(ASM) 및 위협 인텔리전스 도구를 통해 노출 자산을 식별하고, 지속적으로 보안 상태를 점검하는 것이 필수적이다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko)