
최근 Wing FTP Server에서 발견된 정보 유출 취약점 CVE-2025-47813이 실제 공격에 악용되고 있는 정황이 확인되었고, 미국 사이버보안 및 인프라 보안국(CISA)이 이를 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가했다. 해당 취약점은 CVSS 점수 4.3의 중간 등급 취약점으로 분류되지만, 서버의 로컬 설치 경로가 노출될 수 있다는 점에서 단순 정보 유출 이상의 보안 위험을 내포한다. 특히 동일 제품에서 발견된 원격 코드 실행(RCE) 취약점 CVE-2025-47812와 결합될 경우 실제 공격 체인의 일부로 활용될 가능성이 제기되며 보안 커뮤니티의 관심이 집중되고 있다.
Wing FTP Server는 FTP, SFTP, HTTP 기반 파일 전송 기능을 제공하는 크로스 플랫폼 서버 소프트웨어로 전 세계 수천 개 조직에서 사용되고 있다. 이러한 환경에서 인터넷에 노출된 파일 전송 서버는 공격자에게 초기 침투 지점이 될 수 있으며, 취약점과 외부 노출이 결합될 경우 실제 공격으로 이어질 가능성이 크게 높아진다.
본 글에서는 Wing FTP Server 취약점 CVE-2025-47813의 기술적 문제와 공격 가능성을 분석하고, Criminal IP 데이터를 기반으로 인터넷에 노출된 Wing FTP 서비스 현황을 통해 공격 표면 관점에서의 보안 시사점을 살펴본다.
Wing FTP 서버 취약점 개요

| 항목 | 내용 |
|---|---|
| 취약점 ID | CVE-2025-47813 |
| 영향 제품 | Wing FTP Server |
| 취약점 유형 | Information Disclosure |
| CVSS 점수 | 4.3 (Medium) |
| 핵심 영향 | 서버 로컬 설치 경로 노출 |
| 영향 버전 | 7.4.3 이하 |
| 패치 버전 | 7.4.4 |
CVE-2025-47813은 Wing FTP Server의 웹 인증 처리 과정에서 입력 검증이 적절히 이루어지지 않는 문제로 인해 발생한다. 취약점은 /loginok.html 엔드포인트에서 발생하며, 공격자가 UID 세션 쿠키 값에 과도하게 긴 문자열을 삽입할 경우 서버가 오류 메시지를 반환하면서 로컬 설치 경로를 노출하는 구조로 알려졌다.
구체적인 동작 흐름은 다음과 같다.
- 공격자가 비정상적으로 긴 UID cookie 값을 포함한 요청을 전송
- 서버가 해당 값을 처리하는 과정에서 경로 길이 제한을 초과
- 오류 메시지 발생
- 오류 메시지에 애플리케이션의 전체 로컬 파일 경로가 포함되어 반환
이 취약점 자체는 직접적인 원격 코드 실행을 제공하지는 않는다. 그러나 공격자가 서버의 파일 시스템 구조와 설치 위치 정보를 확보할 수 있다는 점에서 추가 공격을 위한 정찰 단계로 활용될 가능성이 존재한다.
RCE 취약점과 결합될 가능성
일부 보안 연구자들은 이번 Wing FTP 서버 취약점 CVE-2025-47813이 동일 제품의 다른 취약점과 결합될 가능성을 언급했다. 특히 Wing FTP 서버에는 CVE-2025-47812 (CVSS 10.0)로 추적되는 원격 코드 실행 취약점이 존재하며, 이 취약점은 이미 실제 공격에서 악용된 사례가 보고된 바 있다.
당시 공격자는 다음과 같은 활동을 수행한 것으로 알려졌다.
- 악성 Lua 스크립트 다운로드 및 실행
- 시스템 환경 정보 수집
- 원격 관리 및 모니터링 소프트웨어 설치
- 추가 공격을 위한 내부 정찰
이러한 공격 흐름에서 CVE-2025-47813을 통해 확보한 서버 경로 정보가 RCE 취약점 악용 과정에서 활용될 가능성이 제기된다. 즉 공격자는 인터넷에서 Wing FTP 서버 탐색, CVE-2025-47813을 이용한 서버 경로 정보 확보, CVE-2025-47812 취약점 악용, 악성 코드 실행 및 시스템 장악의 순으로 공격 체인을 구성할 수 있다.
이와 같은 공격 흐름은 단일 취약점이 아닌 취약점 체인을 통해 공격 영향 범위가 확대되는 대표적인 사례로 볼 수 있다.
Wing FTP 노출 자산 현황 파악 및 분석
취약점 자체만큼 중요한 요소는 인터넷에서 접근 가능한 취약 서비스의 규모다. 파일 전송 서버는 운영 편의성을 위해 외부에서 접근 가능하도록 구성되는 경우가 많으며, 이러한 환경에서는 취약점 공개 이후 자동화된 스캐닝과 공격 시도가 빠르게 증가할 수 있다. 이를 확인하기 위해 Criminal IP Asset Search에서 Wing FTP 서비스를 대상으로 검색을 수행했다.

Criminal IP 검색 쿼리: product: Wing FTP
위 검색을 통해 인터넷에 노출된 Wing FTP 서버 인스턴스를 식별할 수 있다. 해당 쿼리는 서비스 배너와 식별 정보를 기반으로 Wing FTP 서버로 추정되는 자산을 탐지한다.
Criminal IP Asset Search 결과 분석에서는 다수의 Wing FTP 서비스가 외부에서 식별되는 환경이 확인되었다. 이러한 서비스는 일반적으로 FTP, SFTP, 또는 웹 기반 파일 전송 인터페이스 형태로 운영되며, 일부 환경에서는 관리 인터페이스가 직접 노출된 상태로 운영되는 사례도 관측된다.
접근 가능한 Wing FTP 서비스 추가 분석
실제 웹 인터페이스가 외부에서 정상 응답을 반환하는 Wing FTP 서비스를 식별하기 위해 보다 구체적인 검색 조건을 적용했다.

Criminal IP 검색 쿼리: product: Wing FTP AND status_code: 200
이 쿼리는 HTTP 요청에 대해 정상 응답을 반환하는 Wing FTP 서비스를 필터링하여 실제 접근 가능한 웹 인터페이스 환경을 식별하는 데 사용된다.
단순히 제품명이 식별되는 수준을 넘어, status_code: 200 필터는 외부 요청에 대해 실제로 웹 페이지가 정상적으로 반환되는 서비스를 좁혀 보는 데 의미가 있다. 즉 서비스 식별 정보만 남아 있는 비활성 자산이나 제한된 응답 환경이 아니라, 공격자가 브라우저 또는 자동화된 스캐닝 도구를 통해 즉시 접근 가능한 인터페이스를 우선적으로 확인하는 과정에 가깝다. 이와 같은 환경에서는 공격자가 로그인 페이지, 응답 헤더, 정적 리소스, 에러 처리 방식 등을 기반으로 서비스 구성을 보다 구체적으로 파악할 수 있다. 예를 들어 웹 인터페이스가 직접 노출된 상태라면 제품 식별뿐 아니라 관리 페이지 존재 여부, 인증 흐름, 노출된 리소스 경로, 일부 환경에서는 버전 추정에 활용될 수 있는 단서까지 확보할 가능성이 있다.
공격자가 다음과 같은 방식으로 취약 버전 여부를 추정할 수 있다.
- 로그인 페이지 및 정적 리소스 분석
- 서버 응답 헤더 확인
- 배너 정보 기반 버전 추정
외부에서 접근 가능한 관리 인터페이스가 존재할 경우, 취약점 악용 시 공격 영향 범위가 크게 확대될 수 있다.
대응 및 권고 사항
많은 조직에서는 파일 전송 서버를 내부 시스템과 외부 파트너 간 데이터 교환을 위해 운영하며, 운영 편의성을 이유로 외부 접근을 허용하는 경우가 많다. 이 과정에서 테스트 환경이나 임시 서버의 외부 노출, 패치되지 않은 오래된 인스턴스, 관리 인터페이스의 직접 노출과 같은 문제가 발생할 수 있으며, 이러한 환경은 공격자가 자동화된 스캐닝을 통해 손쉽게 식별할 수 있는 공격 표면으로 이어진다. 특히 CVE-2025-47813과 같이 단독으로는 제한적인 영향을 가지는 취약점이라 하더라도, RCE 취약점과 결합될 경우 공격 체인의 일부로 활용될 수 있기 때문에 단순한 패치 적용을 넘어 외부 노출 자산 식별과 접근 통제를 포함한 공격 표면 기반 대응이 필요하다.
추천 대응 방법:
- 즉각적인 보안 업데이트 적용: Wing FTP Server 7.4.4 이상 버전으로 업데이트
- 외부 접근 제한: 관리 인터페이스 및 웹 로그인 페이지 외부 접근 최소화
- 노출 자산 점검: Criminal IP Asset Search 등을 활용해 인터넷에서 식별 가능한 Wing FTP 서비스 확인
- 로그 기반 이상 행위 점검: 비정상 UID cookie 요청 및 오류 메시지 발생 로그 확인
단일 조치가 아닌 다층 방어 전략을 활용하여 침투 이전부터 해당 취약점에 대해 대비하는 것이 기업 및 조직에서 이루어져야 한다.
FAQ
Q1. CVE-2025-47813은 단순 정보 유출 취약점인데, 왜 위험한가요?
CVE-2025-47813 자체는 서버의 로컬 설치 경로를 노출하는 정보 유출 취약점으로, 단독으로는 직접적인 시스템 장악을 유발하지는 않습니다. 그러나 공격자는 해당 정보를 통해 파일 시스템 구조, 설치 위치, 실행 경로 등을 파악할 수 있으며, 이는 추가 취약점 악용을 위한 정찰 단계로 활용될 수 있습니다. 특히 동일 제품에서 존재하는 RCE 취약점(CVE-2025-47812)과 결합될 경우 공격 성공률을 높이는 보조 수단으로 작용할 수 있어 실질적인 보안 위험으로 이어질 수 있습니다.
Q2. 패치만 적용하면 충분한 대응이라고 볼 수 있나요?
패치 적용은 필수적인 조치이지만, 그것만으로 충분하다고 보기는 어렵습니다. Wing FTP Server는 외부 파일 전송 및 관리 기능을 제공하는 서비스 특성상 인터넷에 노출된 상태로 운영되는 경우가 많습니다. 이 경우 패치 이전에 이미 공격자가 접근했을 가능성도 존재하며, 조직이 인지하지 못한 테스트 환경이나 방치된 인스턴스가 남아 있을 수 있습니다. 따라서 패치와 함께 외부 노출 자산을 지속적으로 식별·점검하는 공격 표면 관리(ASM) 기반 대응이 병행되어야 합니다.
결론
Wing FTP Server 취약점 CVE-2025-47813은 단순한 정보 유출 취약점으로 보일 수 있지만, 실제 공격 환경에서는 RCE 취약점과 결합된 공격 체인의 일부로 활용될 가능성이 존재한다. 특히 인터넷에 노출된 파일 전송 서버는 공격자에게 손쉽게 식별되는 표적이 될 수 있으며, 취약 버전이 운영 중일 경우 공격 성공 가능성이 크게 증가한다. CISA가 해당 취약점을 KEV 카탈로그에 추가한 것은 이러한 위험이 이론적 가능성을 넘어 실제 공격 환경에서 악용되고 있음을 의미한다.
따라서 조직은 단순한 패치 적용에 그치지 않고, 인터넷에서 접근 가능한 서비스가 무엇인지 지속적으로 식별하고 관리하는 공격 표면 관리(ASM) 기반 보안 전략을 함께 고려해야 한다.
관련하여 공개된 Google Cloud API Key와 AI API 환경에서 확대되는 공격 표면 글을 참고할 수 있다.
Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.

이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
출처: Criminal IP(https://www.criminalip.io/ko), Bleeping Computer (https://www.bleepingcomputer.com/news/security/cisa-flags-wing-ftp-server-flaw-as-actively-exploited-in-attacks/), The Hacker News (https://thehackernews.com/2026/03/cisa-flags-actively-exploited-wing-ftp.html), Security Affairs (https://securityaffairs.com/189530/security/u-s-cisa-adds-a-flaw-in-wing-ftp-server-to-its-known-exploited-vulnerabilities-catalog.html)
