---
title: "토요일 새벽, 제로데이 때문에 경찰이 집에 찾아옴"
published: 2026-03-23T22:21:19.000Z
canonical: https://jeff.news/article/956
---
# 토요일 새벽, 제로데이 때문에 경찰이 집에 찾아옴

PTC Windchill/FlexPLM의 CVSS 10.0 역직렬화 취약점(CVE-2026-4681) 때문에 독일 연방범죄수사청이 전국 1,000개 이상 기업에 새벽에 경찰을 보내 핫픽스 안내문을 전달하는 전례 없는 사태가 벌어짐. PTC는 '확인된 공격 없음'이라고 하면서 구체적 침해지표를 동시에 공개하는 모순적 태도를 보임.

## 무슨 일이 있었나

- PTC Windchill과 FlexPLM에서 역직렬화(deserialization) 취약점이 발견됨. CVE-2026-4681, **CVSS 10.0 만점**
- 독일 연방범죄수사청(BKA)이 각 주 범죄수사청(LKA)에 지시해서 전국 1,000개 이상 기업에 **경찰을 직접 보냄**
- 토요일 밤~일요일 새벽에 경찰이 회사와 개인 자택을 방문해서 핫픽스 안내문을 전달한 것. 독일에서도 전례 없는 조치였음

## 현장 반응

- 한 관리자는 새벽 3시 30분에 경찰이 찾아왔는데, 해당 서버가 내부망에서만 접근 가능하고 WAN 통신도 안 되는 상태라 왜 이렇게까지 하는지 의아해함
- 다른 관리자는 새벽 2시 45분에 전화가 오고 곧이어 초인종이 울렸는데, 자기 회사는 **해당 취약 제품을 쓰지도 않음**
- PTC가 이미 전날 고객들에게 이메일을 보낸 상태였음

## 기관별 대응이 어긋남

- BKA는 경찰을 새벽에 보내는 초강수를 뒀지만, 정작 독일 정보보안청(BSI, 미국 CISA에 해당)은 **월요일 낮에야** 공지를 게시함
- 미국 CISA는 아예 침묵 중. Known Exploited Vulnerabilities 목록의 최신 항목이 3월 20일 Apple 제품임
- 월요일 오후 기준 PTC에서 아직 **패치도 안 나옴**

## 슈뢰딩거의 IoC

- PTC 공식 입장: "고객에게 영향을 미친 확인된 공격 증거가 없음"
- 그런데 같은 문서 바로 아래에 구체적인 침해지표(IoC)를 나열함. `GW.class` 파일이 서버에 있으면 "공격자가 RCE 실행 전에 시스템을 성공적으로 무기화했다"는 의미라고 설명
- 공격자도 존재하고 악성 코드도 존재하는데 공격은 없었다니 — 완전히 모순되는 상태임

## 핵심 포인트

- CVE-2026-4681: PTC Windchill/FlexPLM 역직렬화 취약점, CVSS 10.0 만점
- 독일 BKA가 LKA를 통해 전국 1,000개 이상 기업에 새벽 시간대 경찰을 직접 파견 — 독일 역사상 전례 없는 조치
- 일부 관리자는 해당 제품을 쓰지도 않는데 새벽에 경찰 방문을 받음
- BSI(독일 CISA)는 월요일 낮에야 공지, 미국 CISA는 침묵 중, 월요일 오후까지 패치 미발표
- PTC가 '공격 증거 없음'이라면서 구체적 IoC(GW.class 파일)를 동시에 공개하는 모순 상태

## 인사이트

BKA의 물리적 대응 강도와 BSI/CISA의 느린 공식 대응 사이의 괴리가 인상적임. CVSS 10.0에 역직렬화 취약점이면 RCE가 바로 가능한 수준인데, PTC의 '공격 증거 없음' 주장과 구체적 IoC 공개가 모순됨. 인시던트 대응에서 기관 간 커뮤니케이션 실패의 교과서적 사례가 될 수 있음.