Windows용 WinRAR에서 심각한 보안 취약점이 발견되었으므로 사용자는 즉시 최신 버전으로 업데이트해야 합니다. CVE-2025-8088로 추적되는 이 취약점은 실제 피싱 공격에 악용되었습니다. 공격자는 이 취약점을 악용하여 악성 아카이브 파일을 만들어 해당 콘텐츠를 시작 시 자동으로 프로그램을 실행하는 Windows 폴더를 포함하여 피해자 시스템의 승인되지 않은 위치에 배치할 수 있습니다.
악성 파일이 이러한 폴더에 배치되면 사용자의 추가 작업 없이도 악성 코드를 설치하거나 숨겨진 백도어를 열 수 있습니다.
일반적으로 WinRAR은 사용자가 지정한 대상 폴더에만 파일을 추출해야 합니다. 그러나 경로 탐색 취약점으로 분류되는 이 취약점은 소프트웨어를 속여 개별 사용자 또는 컴퓨터의 모든 사용자에 대한 Windows 시작 폴더와 같이 매우 민감한 시스템 위치에 파일을 배치하도록 할 수 있습니다.
이러한 위치에 배치된 악성 코드는 컴퓨터가 재부팅될 때마다 자동으로 실행되므로 공격자가 계속해서 장치를 제어할 수 있습니다. 이 문제는 WinRAR의 Windows 버전과 RAR, UnRAR, Portable UnRAR Source 및 UnRAR.dll을 포함한 관련 도구에 영향을 미칩니다. Unix 또는 Android 버전은 영향을 받지 않습니다.
이 취약점은 ESET 보안 연구원 Anton Cherepanov, Peter Košinár 및 Peter Strýček에 의해 발견되었습니다. 조사 결과 RomCom(Storm-0978, Tropical Scorpius 또는 UNC2596이라고도 함)으로 알려진 해커 그룹이 스피어 피싱 공격을 수행하기 위해 이 취약점을 적극적으로 악용한 것으로 나타났습니다.
이러한 공격에서 피해자는 감염된 RAR 파일이 포함된 이메일을 받습니다. 이전 버전의 WinRAR을 사용하여 이러한 악성 파일을 열면 민감한 정보를 도용하고 추가 악성 코드를 설치하며 감염된 시스템에 장기간 숨겨진 액세스를 제공할 수 있는 RomCom 악성 코드가 배포됩니다.
RomCom은 러시아 사이버 스파이 활동과 연관되어 있으며 스파이 활동 및 랜섬웨어 공격을 위해 공개되지 않은 소프트웨어 취약점을 악용하는 것으로 알려져 있습니다. 악성 코드는 일반적으로 암호화된 통신을 사용하며 보안 탐지를 회피하도록 설계된 합법적인 시스템 도구 내에 숨겨져 있습니다.
이 문제를 해결하기 위해 WinRAR 개발자는 2025년 7월 30일에 7.13 최종 버전을 출시했습니다. 이 업데이트는 아카이브 파일이 사용자가 지정한 추출 위치 외부에 콘텐츠를 배치하는 것을 방지하고 관련 없는 몇 가지 사소한 버그를 수정합니다. 그러나 WinRAR은 자동으로 업데이트되지 않습니다. 사용자는 공식 웹사이트에서 새 버전을 수동으로 다운로드하여 설치해야 합니다.
전 세계적으로 5억 명 이상의 사용자를 보유하고 있는 WinRAR은 사이버 범죄자들의 주요 표적입니다. 최근 몇 달 동안 소프트웨어에 나타난 보안 취약점은 이번이 처음이 아닙니다. 악성 아카이브 파일과 관련된 또 다른 취약점도 2025년에 패치되었습니다.
보안 전문가들은 WinRAR을 최신 상태로 유지하는 것이 중요하다고 강조합니다. 또한 알 수 없는 보낸 사람이 보낸 이메일 첨부 파일을 열 때 주의하고, 아카이브 파일에 숨겨진 위협을 탐지할 수 있는 바이러스 백신 소프트웨어를 사용하고, 시작 폴더에서 익숙하지 않은 파일이 있는지 정기적으로 확인하는 것이 좋습니다. 이러한 파일은 악성 코드의 일반적인 진입점이기 때문입니다.