MOVEit Automation 인증 우회 취약점(CVE-2026-4670)

‍

MOVEit Automation 인증 우회 취약점(CVE-2026-4670)

‍

■ 개요

‍

CVE-2026-4670은 글로벌 소프트웨어 벤더인 Progress Software의 MOVEit Automation에서 확인된 인증 우회 취약점입니다. NVD(National Vulnerability Database)는 해당 취약점을 CWE-305(Authentication Bypass by Primary Weakness, 주 취약점에 의한 인증 우회)로 분류하고 있으며, CNA(CVE Numbering Authority)인 Progress Software가 산정한 CVSS v3.1 점수는 9.8입니다.

MFT(Managed File Transfer)는 기업 내외부 간 안전하고 신뢰할 수 있는 데이터 교환을 보장하는 관리형 파일 전송 개념 및 솔루션을 의미합니다. MOVEit 라인업에서 파일을 직접 저장하고 전송하는 주체는 'MOVEit Transfer(MFT 서버)'인 반면, 이번 공격 대상인 'MOVEit Automation'은 전송 워크플로우와 스케줄링을 중앙에서 통제하는 핵심 자동화 엔진 역할을 합니다. 따라서 단일 애플리케이션 취약점이라도 단순 웹 서비스 침해를 넘어 데이터 교환 경로, 업무 자동화 계정, 파트너 연동 지점까지 영향이 확장될 수 있습니다.

Progress Software는 2026년 4월 보안 권고를 통해 CVE-2026-4670을 공개했습니다. 해당 취약점은 서비스 백엔드 명령 포트 인터페이스를 통해 인증 우회 및 권한 상승을 유발할 수 있는 것으로 설명되었으며, 대응의 핵심은 패치 버전으로의 업그레이드입니다.

‍

■ 요약

‍

‍

■ 보안 위협 분석

‍

MOVEit Automation의 보안 위험은 제품이 수행하는 역할에서 비롯됩니다. MFT 서버는 민감한 기업 데이터가 집중되고 내·외부 시스템을 연결하는 핵심 허브이기 때문에, 공격을 받을 경우 대규모 정보 유출과 파트너 및 내부망으로의 연쇄적 침해로 이어질 위험이 큽니다. 또한 공격 행위가 정상적인 자동화 전송 트래픽과 유사한 패턴으로 위장될 수 있어, 이상 징후에 대한 초기 탐지가 지연될 수 있습니다.

과거 공격이 데이터가 저장된 서버를 직접 노린 사례였다면, 이번 CVE-2026-4670은 전체 데이터 흐름의 '제어권'을 가진 '자동화 엔진'에 대한 인증 우회라는 점에서 주목할 필요가 있습니다. 따라서 이 취약점은 단순 접근 통제 결함이 아니라 기업 데이터 흐름의 제어 지점에 대한 Initial Access(초기 침투) 위험으로 평가해야 합니다. 특히 인터넷에 노출된 시스템은 패치 우선순위를 최상위로 두어야 합니다.

‍

■ 대응

‍

• 관리 인터페이스의 인터넷 직접 노출을 차단하고, VPN이나 전용 관리망을 통해서만 접근하도록 제한해야 합니다.

• 패치 전 취약 구간에서 비정상 로그인, 신규 작업 생성, 목적지 변경, 대량 파일 전송 이력이 있었는지 확인해야 합니다.

• 인증 우회 가능성에 대비해 저장된 외부 연동 계정, SFTP 키, API 토큰 및 자격 증명 정보를 일괄 교체해야 합니다.

• 인터넷에 노출되었던 환경은 파일 다운로드 이력, 관리자 계정 변경, 감사 로그 삭제 흔적을 별도로 묶어 조사해야 합니다.

‍

[참고 자료]

NVD, CVE-2026-4670 Detail

Progress Software, MOVEit Automation Critical Security Alert Bulletin – April 2026 – CVE-2026-4670, CVE-2026-5174

Progress Documentation, Fixed Issues 2025.0.9

The Hacker News, Progress Patches Critical MOVEit Automation Bug Enabling Authentication Bypass

BleepingComputer, Progress warns of critical MOVEit Automation auth bypass flaw

Help Net Security