아시아 정부 IT실 어딘가에서 무심코 깜빡이는 서버 불빛. 그러다 — 쾅 — 독이 든 업데이트가 배포되며 수십 엔드포인트가 소리 없이 감염된다.
이게 바로 TrueConf 제로데이 이야기, CVE-2026-3502다. Check Point이 중국 해커 집단의 TrueChaos 작전이라 이름 붙인 이 공격. 실리콘밸리 VC 과대 광고부터 실제 침해 사고까지 20년째 쫓아온 나로선 전형적인 패턴: 업데이트를 믿었다가 당한다.
TrueConf는 불안한 정부와 군에 ‘안전한 선택’이라 자부한다. 온프레미스 서버, 인터넷 불필요, 에어갭까지. 오디오·비디오·채팅 모두 현장에서 잠금. Zoom 클라우드 감시를 피하려는 편집증 환자에 딱 맞아 보이지? 그런데 문제는 클라이언트 업데이트 과정이다. 터무니없다.
무결성 검사 없음. 인증 검증 없음. 클라이언트가 서버에 더 새 버전 발견하면 사용자에게 물어보고 — ‘예’ 클릭, 악성 코드가 날뛰기 시작.
중국 해커, ‘해킹 불가능’ 설정을 어떻게 뚫었나
해커들은 개별 머신을 건드리지 않았다. 영리하다. 정부 IT팀이 직접 운영하는 중앙 온프레미스 TrueConf 서버를 장악했다. 정품 업데이트 패키지를 함정 가득한 것으로 교체. 악성 라이브러리를 깨끗한 실행 파일로 사이드로딩. 쾅: 정찰·영속성·측면 이동을 위한 임플란트. Havoc C2 프레임워크 IP로 집에 전화까지.
Check Point 분석:
“해킹당한 TrueConf 온프레미스 서버는 정부 IT 부서가 운영하며, 전국 수십 정부 기관의 화상 회의 플랫폼으로 쓰였다. 모두 동일한 악성 업데이트를 받았다.”
수십 곳. 한 서버, 대량 감염. 신뢰 관계를 양의 탈을 쓴 늑대로 악용한 셈.
CVSS 점수? 7.8. 높지만 종말급은 아님 — 타깃이 정부·핵심 인프라임을 고려하면. 루트 권한이 필요하겠나, 네트워크 전체를 손에 넣었는데.
에어갭? 오프라인 활성화? 그래, 그게 판매 포인트다. 현실은 클라이언트가 서버에서 업데이트를 끌어온다. 거기 손대면 — 푹 — 에어갭에 멀웨어가 꽉 찬다.
이 영화 전에 봤다. SolarWinds 기억나? 국가 단위가 신뢰된 업데이트를 하이재킹해 대형어를 노린다. TrueConf는 오프라인 버전의 최신 속편일 뿐. 예측: 모방범 출현할 거다. 모든 ‘안전한’ 온프레미스 도구가 이제 벡터다.
왜 정부들은 이런 함정에 계속 걸리나
참고로 TrueConf는 3월에 8.5.3으로 패치했다. CISA KEV 목록 등재, 4월 16일까지 패치 안 하면 연방당국 제재. 그런데 몇 곳이나 미루고 있나? 정부들은 레거시 장비 사랑 — 업데이트 느리고, 감사 더 느리다.
냉소적으로 말하면 누가 진짜 이기나? Check Point은 헤드라인, TrueConf는 패치(와 판매?) 홍보, 중국 행위자들은 기술 연마. 최종 사용자? 청소 비용 부담.
Check Point이 본 임플란트는 최종 페이로드를 안 훔쳤지만, Havoc 연계는 후속 착취를 암시한다. 정찰·영속성 — 대형 쇼 준비.
짧게: 패치해라. 당장.
더 깊게 파보자, 이건 에어갭 신화를 폭로한다. 벽 쌓아도 출입구 — 업데이트·USB·내부자 —는 열린 채. TrueConf 플로우는 서버에 맹목 신뢰. 서명 검사 없음, 해시 없음. ‘엔터프라이즈’ 장비치고 초보 실수.
언급 안 하는 역사적 유사점? 몇 년 전 Shadow Brokers가 NSA 도구 유출, 반대로: 이제 국가 행위자들이 공급망을 루틴으로 장악. 제로데이 마법 아님; 작전 보안 101을 허술한 벤더에 악용한 거다.
패치 후에도 TrueConf 안전할까?
패치? 그래, 8.5.3 버전이 구멍 메웠다. 하지만 신뢰 상실은 영원하다. 정부들이 대안을 찾고 있을 거라 봐. 더 나은 검사 자랑하는 경쟁사 있는데 왜 위험 감수하나?
사실 TrueConf 틈새는 ‘자율성과 프라이버시’였다. TrueChaos 이후엔 PR 수류탄. ‘배운 교훈’이라고 돌리겠지만, 사용자는 침해를 기억하지 패치를 안 한다.
공격자? Check Point IOC 기준 중국. 놀랍지 않음 — 아시아 타깃, 국가 공예. 확대하면: 다음엔 NATO 온프레미스 노릴까?
중간 한 입: 벤더들, 나서라. 클라이언트는 최소 코드 서명이라도 받아야.
방황하는 생각: ‘제로트러스트’ 유행어지만, 이건 순수 신뢰 악용. 아이러니하네.
우리 조직에 왜 중요한가?
정부 아님? 다시 생각해. TrueConf는 핵심 인프라에도 쓰인다. 비슷한 온프레미스 VC 쓰는 팀 — RingCentral, Jitsi 등 — 업데이트 감사해라. 서버가 업데이트 허브? 레드 플래그.
독특한 관점: ‘검증 업데이트’ 서비스 붐 예감. 어떤 스타트업이 돈 벌고 VC 열광할 거다. 한편 진짜 보안은 따분하다: 패치 관리, 이상 징후 탐지.
CISA 마감 다가온다. 무시하면 착취 클럽 가입.
여섯 문장 딥다이브: 공격 체인은 우아하다 — 서버 장악(피싱 IT? 내부자?), 패키지 수정, 클라이언트 체크인 기다림. 시끄러운 익스플로잇 없음, 인내심만. 임플란트 DLL 사이드로딩? 오래된 트릭, 여전. Havoc C2? 오픈소스, 부인 가능. 중국 행위자 서구 도구로 레벨업. SIEM이 잡았나? 클라우드 튜닝이라면 아마 아닐 거다.
한 방: 맹목 업데이트 버려라.
🧬 Related Insights
- Read more: Honeypots Snag Vite Probes Hunting AWS Keys on Exposed Dev Servers
- Read more: Casbaneiro Gang’s Sneaky Dynamic PDFs Hit Enterprises in LatAm and Europe
Frequently Asked Questions
What is the TrueConf zero-day CVE-2026-3502?
온프레미스 서버의 검증 안 된 업데이트로 공격자가 코드 실행 가능하게 하는 결함. 8.5.3에서 수정.
Who exploited TrueConf in government attacks?
Check Point 분석상 중국 해커들, 중앙 서버 장악으로 아시아 기관 타깃.
Is TrueConf safe for air-gapped networks now?
패치된 클라이언트는 안전하지만, 설정 감사 필수 — 서버가 여전히 진입로 될 수 있다.
