CVE-2026-28318: SolarWinds Serv-U 비인증 DoS 취약점 긴급 분석

핵심 요약: 인터넷에 노출된 Serv-U 15.5.4 이하 버전에 인증 없이 조작된 HTTP POST 요청을 보내면 서비스가 즉시 크래시됩니다. CVSS 7.5, CISA KEV 등재, 연방기관 패치 마감 2026-06-19.

1. Serv-U가 뭔가요?

Serv-U는 SolarWinds의 Managed File Transfer, MFT 서버입니다. 기업용 보안 FTP 서버로 Windows/Linux에서 동작하며 FTP/FTPS, SFTP, HTTP/S 웹 클라이언트와 모바일 클라이언트를 지원합니다.

실무에서는 협력사 대용량 파일 교환, ERP/MES 배치 전송, 외부 파트너용 웹 업로드 포털 용도로 쓰입니다. 한국에서도 제조·의료·공공 분야에서 구버전이 아직 운영 중입니다.

2. CVE-2026-28318 취약점 개요

항목	내용
CVE ID	CVE-2026-28318
유형	Uncontrolled Resource Consumption / Denial of Service
CVSS	7.5 (High)
공격 조건	비인증 원격, 네트워크 접근 가능
영향 버전	Serv-U 15.5.4 및 이전
패치 버전	15.5.4 Hotfix 1
CISA KEV	등재 완료, 실제 악용 확인

3. 공격 메커니즘

CISA 및 보안 매체 분석에 따르면 공격 벡터는 HTTP 헤더 기반입니다.

1. 공격자는 Content-Encoding: deflate 헤더를 포함한 POST 요청을 Serv-U 웹 인터페이스에 전송
2. 서버가 압축 해제 루틴에서 입력 검증 없이 자원을 할당
3. 메모리 고갈 또는 예외 처리 실패로 Serv-U 프로세스 크래시

초기 정찰 단계에서는 ListBuckets 수준의 정보 수집과 유사하게 정상 로그와 구분이 어려워 탐지가 지연될 수 있습니다.

4. 왜 위험한가

• 비인증 공격: 계정 없이 인터넷에서 바로 공격 가능
• 업무 중단: 파일 전송, 파트너 연동, 배치 작업 전체 중단
• DMZ 노출: Serv-U는 기본적으로 외부 노출을 전제로 설계됨
• KEV 등재: 실제 스캐닝 및 악용 정황 확인

5. 한국 영향

국내 보안사 공지에서도 Serv-U File Server 구버전 취약점이 안내된 바 있습니다. 한국에서도 제조업 도면 전송, 병원 파일 반입반출, 금융권 대외 연계 용도로 Serv-U가 사용되고 있어 동일하게 영향을 받습니다.

6. 탐지 포인트

• 동일 IP에서 짧은 시간 다수 POST 요청
• Content-Encoding: deflate 헤더 급증
• Serv-U 프로세스 비정상 종료 이벤트
• Windows Event ID 1000 Application Crash

7. 대응 가이드

즉시 조치

# 버전 확인
# Serv-U 콘솔 > About

# 키 비활성화는 해당 없음, 서비스 재기동
systemctl restart servu

1. 버전 확인 후 15.5.4 HF1 미만이면 즉시 패치
2. 인터넷 노출 최소화: WAF에서 deflate POST 차단 룰 임시 적용
3. 방화벽에서 신뢰 IP만 443/80 허용

완화책

• VPN 전용 접근으로 전환
• Rate limiting 적용
• 리버스 프록시 앞단 배치

8. 보안 담당자 체크리스트

• [ ] Serv-U 자산 인벤토리 확보
• [ ] 15.5.4 HF1 패치 적용 완료
• [ ] 외부 노출 Serv-U 목록 축소
• [ ] WAF 차단 룰 적용 및 로그 모니터링
• [ ] 최근 30일 크래시 이력 점검

9. 결론

CVE-2026-28318은 RCE는 아니지만 파일 전송 인프라를 순식간에 멈추게 하는 스위치입니다. 인증이 필요 없고 요청 한 번이면 됩니다. Serv-U를 DMZ에 열어둔 조직은 지금 당장 버전을 확인해야 합니다.

사고 후 대응 비용은 예방 비용의 수십 배입니다. 지금 Serv-U 버전을 확인하세요.