압축 소프트웨어 사용자 그룹에서는 WinRAR과 7-Zip 사이에 종종 논쟁이 있습니다. 그러나 최근 노출된 근본적인 취약점으로 인해 모든 사용자가 동시에 위기에 처하게 되었습니다. 사이버 보안 회사 Bombadil Systems의 연구원인 Chris Aziz는 "Zombie ZIP"이라는 심각한 보안 취약점을 발견하고 노출했습니다. 현재 VirusTotal의 50개 주요 바이러스 백신 엔진 중 어느 것도 이러한 문제가 있는 ZIP 파일을 인식할 수 없습니다.
이 취약점은 압축 파일의 기본 논리에 있는 결함을 악용합니다. 사용자가 어떤 압축 해제 도구를 사용하든 특별히 변조된 악성 ZIP 패키지를 열고 그 안에 있는 파일을 클릭하기만 하면 해커는 코드를 실행하고 시스템을 제어할 수 있습니다.
이 취약점의 핵심은 ZIP 파일 헤더의 위조에 있습니다. 연구에 따르면 대부분의 안티 바이러스 엔진은 압축된 패키지를 검사할 때 압축 패키지의 "방법"(압축 방법) 필드를 맹목적으로 신뢰합니다.
해커는 의도적으로 이 필드를 압축되지 않은 상태를 나타내는 0으로 설정하여 안티 바이러스 엔진이 파일이 원래 저장 모드에 있다고 생각하고 압축 해제 검사를 건너뛰도록 유도합니다. 헷갈리는 '압축 노이즈' 뭉치만 읽어져 있고, 동반된 악성 프로그램 시그니처는 전혀 식별할 수 없습니다.
동시에 해커는 의도적으로 CRC 검사 값을 압축되지 않은 상태의 값으로 설정하여 WinRAR, 7-Zip 및 기타 도구의 오류 보고 메커니즘을 표적으로 삼았지만 ZIP 파일에 사용자 지정 DEFLATE 알고리즘 로더를 내장하여 압축 해제 도구가 위조된 파일 헤더를 직접 무시하고 숨겨진 악성 코드를 공개하도록 했습니다.
이 이중기만 방법은 거의 완벽한 스텔스 효과를 달성합니다. 백신 소프트웨어는 파일이 안전하다고 오판하고, 압축해제 도구는 악성 프로그램을 정상적으로 풀어주어 사용자가 클릭해 실행시켜 속인다.
CERT/CC(컴퓨터 비상 대응팀 조정 센터)는 이 취약점에 CVE-2026-0866이라는 번호를 부여했으며, 이는 20여년 전 초기 ESET 바이러스 백신 소프트웨어에 영향을 미쳤던 CVE-2004-0935 취약점과 매우 유사하다는 점을 지적합니다.
CERT/CC는 안티 바이러스 엔진이 ZIP 파일의 메소드 헤더를 맹목적으로 신뢰해서는 안 되며 압축 필드를 실제 데이터와 교차 검증하고 비정상적인 구조를 가진 압축 패키지를 식별하는 메커니즘을 추가해야 한다고 경고합니다.
제조업체가 패치를 출시하기 전에 사용자는 출처를 알 수 없는 ZIP 파일을 다룰 때 매우 주의해야 하며, 내부 파일을 쉽게 클릭하지 마십시오.