
2026년 3월 말, TrueConf Windows 클라이언트에서 실제 공격에 악용된 제로데이 취약점 CVE-2026-3502가 공개되었다. 해당 취약점은 애플리케이션 업데이트 코드를 내려받는 과정에서 무결성 검증이 수행되지 않는 구조적 결함으로, 공격자가 온프레미스 TrueConf 서버를 통제할 수 있는 경우 변조된 업데이트 파일을 정상 업데이트처럼 배포하고 임의 코드를 실행할 수 있다. Check Point는 이 취약점이 동남아시아 정부 기관을 겨냥한 Operation TrueChaos 캠페인에서 실제 악용됐다고 밝혔다.
이번 이슈가 특히 중요한 이유는 공격 방식이 일반적인 인터넷 노출 취약점과 다르기 때문이다. 공격자는 각 엔드포인트를 개별적으로 침해할 필요가 없었다. 대신 중앙에서 운영되는 TrueConf 온프레미스 서버의 신뢰된 업데이트 경로를 악용해, 연결된 다수 기관과 사용자 단말에 악성 파일을 한 번에 배포할 수 있었다. 이는 단일 소프트웨어 취약점이 아니라 제품의 정상적인 운영 흐름 자체가 멀웨어 유통 채널로 전환된 사례라는 점에서 의미가 크다.
본 글에서는 CVE-2026-3502의 기술적 원인과 실제 공격 흐름을 정리하고, Criminal IP를 활용해 TrueConf 관련 노출 자산과 공격 인프라를 어떤 방식으로 분석할 수 있는지 살펴본다.
TrueConf 취약점 개요

| 항목 | 내용 |
|---|---|
| 취약점 ID | CVE-2026-3502 |
| 영향 제품 | TrueConf Windows Client |
| 취약점 유형 | 무결성 검증 없는 코드 다운로드 |
| CVSS 점수 | 7.8 |
| 영향 버전 | 8.1.0 ~ 8.5.2 |
| 패치 버전 | 8.5.3 |
CVE-2026-3502는 TrueConf Windows 클라이언트가 업데이트를 적용하는 과정에서 서버가 제공하는 업데이트 파일의 진위와 무결성을 충분히 검증하지 않는 문제에서 발생한다. NVD는 이를 CWE-494로 분류하고 있으며, 공격자가 업데이트 전달 경로에 영향을 줄 수 있다면 변조된 업데이트를 정상 파일처럼 배포할 수 있다고 설명한다. CVSS 3.1 기준 점수는 7.8이며, 영향 버전은 8.1.0부터 8.5.2까지, 수정 버전은 8.5.3이다.
TrueConf는 정부, 군, 중요 인프라, 금융 등 민감한 조직에서 많이 사용되는 협업·화상회의 솔루션으로, 특히 온프레미스·오프라인·폐쇄망 환경에서의 활용이 강조되어 왔다. Check Point에 따르면 TrueConf는 전 세계적으로 100,000개 이상의 조직에서 사용되며, 중앙 서버와 클라이언트 간의 신뢰 관계가 강한 환경에서 운영된다. 바로 이 특성이 이번 공격에서 침해 확산의 핵심 조건으로 작용했다.
기술적 원인: 업데이트 검증 부재가 만든 신뢰 체인 붕괴
TrueConf 클라이언트는 시작 시 연결된 온프레미스 서버에 더 높은 버전의 클라이언트가 있는지 확인하고, 새 버전이 존재하면 서버로부터 업데이트 파일을 다운로드해 설치를 진행한다. 문제는 이 과정에서 서버가 제공한 업데이트 파일이 정상 파일인지, 변조되지 않았는지에 대한 충분한 검증이 없었다는 점이다. 따라서 공격자가 온프레미스 TrueConf 서버를 장악한 뒤 정상 업데이트 패키지를 악성 실행 파일로 교체하면, 연결된 클라이언트는 이를 합법적인 업데이트로 신뢰하고 실행하게 된다.
즉, 이번 취약점의 핵심은 “업데이트 서버가 신뢰된다”는 제품 설계 가정이 깨졌을 때, 그 신뢰가 곧바로 악성 코드 실행으로 이어진다는 데 있다. 일반적인 원격 코드 실행 취약점처럼 외부에서 포트 하나를 두드려 즉시 공격하는 구조는 아니지만, 반대로 한 번 중앙 서버가 장악되면 연결된 다수의 클라이언트가 동시에 감염될 수 있다는 점에서 영향 범위가 매우 크다.
실제 공격 흐름: Operation TrueChaos
Check Point가 공개한 Operation TrueChaos에서는 공격자가 정부 IT 부서가 운영하던 중앙 TrueConf 온프레미스 서버를 장악한 뒤, 정상 업데이트 대신 악성 업데이트 패키지를 배치했다. 이 서버는 수십 개 정부 기관에 공통으로 서비스를 제공하고 있었고, 결과적으로 다수의 연결된 엔드포인트가 개별 침해 없이 한 번에 악성 파일을 내려받게 되었다.
공격 체인은 다음과 같이 전개됐다.
- 공격자는 중앙 TrueConf 서버를 통제한 뒤 정상 업데이트 패키지를 악성 파일로 교체했다.
- 클라이언트는 서버가 새 버전을 제공한다고 인식하고, 이를 합법적인 업데이트로 신뢰했다.
- 악성 업데이트는 정상 업그레이드처럼 보이면서
poweriso.exe와7z-x64.dll같은 파일을 함께 드롭했다. - 이후 DLL side-loading을 통해 백도어가 실행됐고, 정찰·지속성 확보·권한 상승·추가 페이로드 다운로드가 이어졌다.
- 최종적으로는 Havoc C2 인프라와의 통신이 관찰됐으며, Check Point는 높은 신뢰도로 Havoc implant 배포가 목적이었다고 평가했다.
이 과정에서 보고된 IOC에는 poweriso.exe, 7z-x64.dll, iscsiexe.dll, %AppData%\Roaming\Adobe\update.7z, 그리고 C2 IP 47.237.15[.]197, 43.134.90[.]60, 43.134.52[.]221 등이 포함된다. Check Point는 전술, 인프라, 피해 대상 특성을 근거로 이번 활동을 중국 연계 위협 행위자와 연관 지을 수 있다고 중간 수준의 확신으로 평가했다.
해당 이슈의 위험성
CVE-2026-3502의 본질적 위험성은 단순히 클라이언트 측 코드 실행에 있지 않다. 더 큰 문제는 중앙 서버와 클라이언트 사이의 신뢰 관계가 조직 전체 감염의 전파 수단이 될 수 있다는 점이다. 일반적인 소프트웨어 취약점은 개별 자산의 버전과 노출 상태를 기준으로 우선순위를 매기지만, 이번 사례에서는 하나의 중앙 관리 지점을 악용하는 것만으로 수십 개 기관과 다수 엔드포인트가 동시에 영향을 받을 수 있었다.
특히 TrueConf가 정부, 군, 중요 인프라처럼 폐쇄적이고 민감한 환경에서 사용된다는 점을 고려하면, 이 취약점은 단순한 엔드포인트 감염을 넘어 기관 간 측면 확산의 발판으로 작용할 수 있다. 업데이트 기능은 보안 제품이나 협업 제품에서 가장 신뢰받는 기능 중 하나인데, 이번 이슈는 그 흐름이 오히려 멀웨어 배포 채널로 전환될 수 있음을 보여준다.
Criminal IP를 활용한 TrueConf 노출 자산 분석
TrueConf는 온프레미스 환경에서 운영되는 경우가 많지만, 일부 환경에서는 관리 편의나 원격 접근을 위해 웹 기반 인터페이스가 외부에 노출되는 사례가 존재한다. 이러한 자산은 중앙 서버와 다수 클라이언트 간 신뢰 관계를 형성하는 핵심 지점으로, 공격자 입장에서는 우선적으로 식별해야 할 대상이 된다.
특히 CVE-2026-3502와 같이 중앙 서버를 통해 악성 업데이트를 배포할 수 있는 구조에서는, 외부에서 식별 가능한 TrueConf 서버의 존재 여부 자체가 공격 표면을 이해하는 중요한 기준이 된다. Criminal IP Asset Search를 통해 이러한 자산을 확인하기 위해, 웹 응답에서 TrueConf 식별자가 드러나는 자산을 기준으로 탐지를 수행하였다.

Criminal IP 검색 쿼리: title: TrueConf
해당 쿼리는 웹 페이지의 title 정보에 TrueConf가 포함된 자산을 식별하기 위한 것으로, 관리 인터페이스 또는 게스트 페이지 등 외부에서 접근 가능한 TrueConf 관련 웹 서비스를 탐지하는 데 목적이 있다. 탐지 결과, 약 360개의 자산에서 TrueConf 서버의 웹 기반 관리 페이지가 외부에서 직접 접근 가능한 상태로 확인되었다. 이러한 자산은 단순한 웹 서비스 노출을 넘어, 다수 클라이언트와 연결된 중앙 관리 지점일 가능성이 있다.
특히 CVE-2026-3502와 같이 업데이트 신뢰 체인을 악용하는 취약점이 존재하는 경우, 이러한 중앙 서버는 단일 침해 지점을 넘어 연결된 다수 엔드포인트로 공격을 확산시킬 수 있는 핵심 거점으로 작용할 수 있다.

Criminal IP 탐지 결과를 통해 나온 TrueConf 관련 노출 자산 중 일부에서는 다수의 관리 포트들이 오픈된 상태로 방치되어 있었고 SSL 인증서가 만료되어 기본적인 보안 관리가 미흡한 것을 확인할 수 있었다. 또한 이와 함께 다수의 취약점이 식별된 점을 고려할 때, 공격자가 비교적 낮은 난이도로 접근 및 추가 침해를 시도할 수 있는 조건을 갖추고 있는 것으로 판단된다. 이러한 자산은 단순한 서비스 노출을 넘어, 중앙 서버 기반 신뢰 구조를 악용하는 공격에서 초기 침해 지점 또는 확산 거점으로 활용될 가능성이 존재한다. 특히 CVE-2026-3502와 같이 업데이트 경로를 통해 악성 코드가 배포되는 시나리오에서는, 이와 같은 취약한 서버 환경이 공격 성공 이후 내부 확산을 가속화하는 역할을 할 수 있다.
대응 방안 및 권고 사항
가장 먼저 필요한 조치는 TrueConf Windows 클라이언트를 8.5.3 이상으로 업데이트하는 것이다. 영향을 받는 버전 범위는 8.1.0~8.5.2이며, 8.5.3에서 수정이 반영됐다.
그 다음으로는 중앙 TrueConf 서버의 무결성과 운영 경로를 점검해야 한다. 이번 사례는 엔드포인트 하나하나를 침해한 것이 아니라, 중앙 서버의 업데이트 경로가 장악되면서 다수 클라이언트가 동시에 악성 파일을 받아 실행하게 된 구조였다. 따라서 조직은 단순히 클라이언트 버전만 확인할 것이 아니라, 다음 항목을 함께 점검해야 한다.
- TrueConf 온프레미스 서버 접근 권한 및 관리자 계정 점검
- 서버 내 업데이트 저장 경로 및 파일 무결성 검증
- 비정상적인 업데이트 파일 교체 이력 확인
poweriso.exe,7z-x64.dll,iscsiexe.dll,update.7z등 IOC 탐지- 의심 C2 IP와의 통신 로그 점검
- 다수 클라이언트에 동일 시점 배포된 비정상 업데이트 여부 검토
추가로, TrueConf 관리 웹이나 게스트 페이지가 공개 인터넷에서 접근 가능한 상태라면 접근 범위를 최소화하고, 관리 인터페이스를 외부에 직접 노출하지 않도록 재구성하는 것이 바람직하다. 이번 사례는 업데이트 채널의 신뢰가 깨졌을 때 얼마나 큰 피해로 이어질 수 있는지를 보여준 만큼, 중앙 관리 지점의 외부 노출 여부 자체를 다시 점검할 필요가 있다.
FAQ
Q1. CVE-2026-3502는 왜 위험한가요?
CVE-2026-3502는 단순히 하나의 사용자 단말을 대상으로 하는 취약점이 아니라, 중앙 서버와 다수 클라이언트 간의 신뢰 관계를 기반으로 확산되는 구조를 가진다는 점에서 위험합니다. 일반적인 공격은 개별 엔드포인트를 각각 침해해야 하지만, 이번 취약점은 온프레미스 TrueConf 서버를 장악하는 것만으로 연결된 모든 클라이언트에 악성 업데이트를 배포할 수 있습니다. 특히 클라이언트는 서버가 제공하는 업데이트를 정상적인 것으로 신뢰하기 때문에, 별도의 사용자 상호작용 없이도 악성 코드가 실행될 수 있습니다. 이는 보안 통제가 적용된 환경에서도 우회 가능성을 높이며, 실제로 Operation TrueChaos 사례에서는 하나의 중앙 서버를 통해 다수 정부 기관이 동시에 영향을 받았습니다.
결과적으로 이 취약점은 단일 시스템 침해를 넘어, 조직 전체 또는 여러 기관으로 확산될 수 있는 공급망형 공격 벡터로 작용하며, 영향 범위와 파급력이 매우 크다는 점에서 위험성이 높습니다.
Q2. 인터넷에 TrueConf 서버가 노출되지 않아도 위험한가요?
그렇습니다. 이번 취약점은 반드시 인터넷에 노출된 서버를 전제로 하지 않습니다. 실제 공격에서도 외부 노출 여부와 관계없이, 내부 네트워크에 존재하는 온프레미스 TrueConf 서버가 장악되면서 공격이 이루어졌으며 이는 공격자가 내부 접근 권한을 확보하거나, 다른 경로를 통해 중앙 서버를 침해할 경우 동일한 공격이 가능함을 의미합니다. 다만, 공개 인터넷에서 식별 가능한 TrueConf 서버나 관리 웹 인터페이스는 공격 표면을 확장시키는 요소가 될 수 있습니다. 외부에서 접근 가능한 상태라면 초기 침해 가능성이 높아지고, 서버 식별 자체가 공격자의 정찰 단계에서 중요한 단서로 활용될 수 있기 때문입니다.
따라서 TrueConf 서버가 외부에 노출되어 있지 않더라도 안전하다고 볼 수 없으며, 내부 환경에서도 중앙 서버의 무결성, 접근 제어, 업데이트 경로에 대한 보안 검증이 필수적이라고 할 수 있습니다. 동시에 외부에 노출된 자산이 존재하는 경우에는 공격 가능성이 더욱 높아지므로, 추가적인 점검과 접근 통제가 필요합니다.
결론
CVE-2026-3502는 단순한 업데이트 취약점이 아니다. 이 사례는 신뢰된 내부 소프트웨어 업데이트 흐름이 곧 멀웨어 유통 채널이 될 수 있다는 점을 보여준다. 특히 TrueConf처럼 정부·군·중요 인프라 환경에서 사용되는 온프레미스 제품은, 외부 공격보다 내부 신뢰 체인의 악용이 더 치명적일 수 있다. Check Point가 관찰한 Operation TrueChaos는 바로 그 지점을 노린 공격이었다. 따라서 이번 이슈의 핵심 대응은 “패치 적용”에만 머무르지 않는다. 조직은 TrueConf 클라이언트 업데이트뿐 아니라 중앙 서버의 무결성, 업데이트 파일 검증 체계, 관리 인터페이스 노출 여부, IOC 점검, 관련 인프라 모니터링까지 함께 수행해야 한다.
관련하여 CVE-2026-32746: GNU InetUtils telnetd 인증 이전 RCE 취약점 분석 글을 참고할 수 있다.
Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.

이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
출처: Criminal IP(https://www.criminalip.io/ko), NIST (https://nvd.nist.gov/vuln/detail/CVE-2026-3502), The Hacker News (https://thehackernews.com/2026/03/trueconf-zero-day-exploited-in-attacks.html), Help Net Security (https://www.helpnetsecurity.com/2026/04/02/trueconf-zero-day-vulnerability-cyber-espionage/)
