맨디언트가 발견한 충격적인 사실: 일본산 LMS 'KnowledgeDeliver'에 하드코딩된 ASP.NET 머신키가 있어, 인증되지 않은 공격자가 단 한 번의 요청으로 서버를 완전히 장악할 수 있었다. 감염 경로: 제로데이 취약점(CVE 2026 5426)을 통한 초기 침투 → 메모리 은닉형 웹쉘 '고질라(BLUEBEAM)' 설치 → LMS 사이트 변조 → 가짜 보안 경고창 표시 → 사용자 PC에 코발트 스트라이크 비컨 감염.

Create a landscape editorial hero image for this Studio Global article: What was the CVE-2026-5426 zero-day vulnerability in the KnowledgeDeliver LMS, how was it exploited by threat actors to deploy Cobalt Strike. Article summary: **CVE-2026-5426** is a critical zero-day vulnerability in **Digital Knowledge KnowledgeDeliver**, a Japanese Learning Management System (LMS) built on ASP.NET. The root cause is a **hard-coded ASP.NET/IIS `machineKey` va. Topic tags: general, government, general web. Reference image context from search candidates: Reference image 1: visual subject "# KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM Web Shell. A newly disclosed zero-day vulnerability in the KnowledgeDeliver Learning Management System (LMS) has been a" source context "KnowledgeDeliver LMS Zero-Day Exploited to Deploy BLUEBEAM ..." Reference image 2: visual subject "# New Knowledge Deliv
2025년 말, 구글의 사이버 보안 전문가 그룹 맨디언트(Mandiant)는 한 건의 침해 사고 조사 과정에서 단순한 설정 오류가 어떻게 대규모 연쇄 해킹으로 이어질 수 있는지 보여주는 교과서 같은 사례를 발견했습니다. 주인공은 일본에서 널리 사용되는 ASP.NET 기반 학습 관리 시스템(Learning Management System, 이하 LMS)인 KnowledgeDeliver였습니다.
문제의 핵심은 CVE-2026-5426으로 명명된 치명적인 보안 허점, 바로 소프트웨어 내부에 단단히 박혀 있던 정적 암호화 키(머신키)였습니다. 이 취약점으로 인해 신원이 밝혀지지 않은 공격자들은 인터넷에 노출된 지식 전달의 창구를 단숨에 무력화하고, 나아가 그 플랫폼을 방문하는 선량한 사용자들의 PC까지 코발트 스트라이크(Cobalt Strike)라는 강력한 백도어로 감염시켰습니다 .
이 사건의 본질은 소프트웨어 공급망의 기본 설계 원칙이 무너진 데 있습니다. ASP.NET 웹 애플리케이션의 구성 파일(web.config)에 정의되는 machineKey는 사용자 인증 티켓, ViewState 등 민감한 데이터의 암호화 및 무결성 검증을 담당하는 핵심 비밀 값입니다. 그런데 Digital Knowledge 사(社)는 KnowledgeDeliver를 전 세계 모든 고객사에 배포하면서 완전히 동일한, 복사-붙여넣기된 machineKey를 기본 설정 파일에 포함시켜 제공했습니다 .
모든 서버에 동일한 마스터키가 꽂혀 있었던 셈인데, 이는 사실상 공개된 비밀이나 다름없었습니다. 공격자는 이 키만 알고 있으면 마치 진짜 사용자인 것처럼 유효한 서명이 포함된 악의적인 ViewState 객체를 만들어낼 수 있습니다. 이후 모든 .aspx 페이지에 이 조작된 값을 전송하기만 하면, 서버는 이를 '정상 요청'으로 판단하고 코드를 실행해 공격자에게 관리자 권한을 넘겨주게 됩니다 . 미국 국립표준기술연구소(NIST)는 이 취약점에 CVSS 7.5점(High, 높음)의 위험 등급을 부여하며, 인증되지 않은 외부 공격자가 네트워크를 통해 손쉽게 서버를 장악할 수 있다고 경고했습니다
.
맨디언트의 조사 결과는 단순한 서버 해킹을 넘어, 플랫폼 자체가 사용자를 공격하는 '무기'로 둔갑하는 정교한 흐름을 보여줍니다 .
최초 침투는 매우 간단했습니다. 해커는 인터넷에 노출된 KnowledgeDeliver 로그인 페이지로 악의적으로 조작된 ViewState 데이터를 HTTP POST 요청에 담아 전송했고, 취약한 서버는 이를 그대로 역직렬화(Deserialization)하며 원격 코드를 실행했습니다. 순식간에 웹 서버의 제어권이 넘어간 것입니다 .
서버에 침투한 공격자는 오래 머물기 위해 **고질라(Godzilla)**라는 은밀한 도구를 설치했습니다. 이 악성코드는 디스크에 파일을 남기는 대신, 정상적인 IIS 워커 프로세스의 메모리 안에 숨어 동작합니다. 맨디언트 내부적으로는 이 웹쉘을 BLUEBEAM으로 추적하고 있습니다. 고질라를 통해 공격자는 탐지 우려 없이 명령을 실행하고 파일을 자유롭게 업로드할 수 있었습니다 .
제어 채널을 확보한 공격자는 이제 함정을 설치했습니다. LMS 서버가 제공하는 자바스크립트 파일을 변조하여, 실제 수업을 들으러 접속한 사용자들의 화면에 '보안 경고' 혹은 '필수 프로그램 업데이트' 등의 가짜 메시지 창을 띄우도록 설정한 것입니다. 해커의 목표는 서버 단독 장악이 아닌, 그 아래 연결된 모든 개인용 컴퓨터였습니다 .
가짜 경고창에 속은 사용자가 '플러그인' 또는 '인스톨러' 파일을 다운로드하는 순간, 진짜 재앙이 시작됩니다. 실행된 파일은 **코발트 스트라이크 비컨(Cobalt Strike Beacon)**이라는 고성능 백도어로, 공격자의 명령제어 서버와 암호화된 채널을 생성해 PC의 모든 권한을 외부에 넘깁니다. 특히 맨디언트는 이 페이로드가 감염 대상 조직의 이름을 암호화 키로 사용한 점을 포착했는데, 이는 공격자가 무작위 해킹이 아니라 표적을 정하고 맞춤 공격을 준비했다는 명백한 증거입니다 .
이번 사건은 제로데이를 넘어 '서드파티 소프트웨어의 기본 설정'이 얼마나 치명적일 수 있는지 보여줍니다. KnowledgeDeliver를 운영 중인 조직이라면 다음과 같은 조치를 즉시 적용해야 합니다 :
web.config 파일에서 하드코딩된 값을 찾아 암호학적으로 안전하게 생성된 고유한 난수 값으로 즉시 변경해야 합니다. 이것이 CVE-2026-5426 취약점의 근본적인 해결책입니다 .aspx POST 요청을 색출합니다. 고질라 웹쉘이나 코발트 스트라이크 비컨과 같은 침해 지표가 내부 시스템에 남아 있는지 엔드포인트 탐지 및 대응 솔루션으로 정밀 진단하십시오 w3wp.exe)가 비정상적인 자식 프로세스를 생성하는지 감시하도록 EDR 규칙을 강화합니다.이 충격적인 사례는 중요한 교훈을 남깁니다. '잘 팔리는 솔루션'이라도 그 기반이 되는 보안 기본값이 허술하면, 단 하나의 공유된 비밀이 건물 전체를 무너뜨리는 마스터키가 될 수 있다는 사실 말입니다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
맨디언트가 발견한 충격적인 사실: 일본산 LMS 'KnowledgeDeliver'에 하드코딩된 ASP.NET 머신키가 있어, 인증되지 않은 공격자가 단 한 번의 요청으로 서버를 완전히 장악할 수 있었다.
맨디언트가 발견한 충격적인 사실: 일본산 LMS 'KnowledgeDeliver'에 하드코딩된 ASP.NET 머신키가 있어, 인증되지 않은 공격자가 단 한 번의 요청으로 서버를 완전히 장악할 수 있었다. 감염 경로: 제로데이 취약점(CVE 2026 5426)을 통한 초기 침투 → 메모리 은닉형 웹쉘 '고질라(BLUEBEAM)' 설치 → LMS 사이트 변조 → 가짜 보안 경고창 표시 → 사용자 PC에 코발트 스트라이크 비컨 감염.
2026년 2월 24일 이전 버전의 KnowledgeDeliver를 사용하는 모든 교육 기관과 기업은 지금 당장 긴급 업데이트와 머신키 교체가 필수다.