시스코 제품의 두 가지 취약점, 긴급 패치 요망
- 9.9점짜리 취약점 하나, 6.5점짜리 취약점 하나
- 연쇄적으로 익스플로잇 되고 있어 더 위험
- CISA 역시 나서서 "24시간 안에 패치하라" 명령
시스코(Cisco)에서 긴급 패치를 배포하기 시작했다. 시스코 보안 방화벽의 ASA(Adaptive Security Appliance) 소프트웨어와, FTD(Firewall Threat Defense) 소프트웨어에서 발견된 것으로, 시스코는 고객들에게 “빠른 패치”를 권고하고 있다.
문제의 취약점은 다음과 같다.
1) CVE-2025-20333 : CVSS 기준 9.9점짜리 권한 상승 및 임의 코드 실행 취약점
2) CVE-2025-20362 : CVSS 기준 6.5점짜리 비인가 URL 엔드포인트 접근 취약점
시스코가 패치를 긴급히 배포하고 사용자 대상 보안 경고문까지 보내는 데에는 이유가 있다. 취약점 익스플로잇이 가능하고, 실제 공격이 일어나고 있기 때문이다. 다만 시스코는 어떠한 악용 시도가 있었으며, 성공률이 얼마나 되는지, 배후 세력이 얼마나 되며, 피해 규모가 어느 정도인지 공개하지 않고 있다.
또한 두 가지 취약점을 공격자들이 연쇄적으로 익스플로잇 하고 있다는 사실 역시 시스코를 급하게 만들고 있다. 시스코는 “두 취약점을 연속해서 익스플로잇 했을 때 공격자는 인증을 우회하고 취약한 장비에서 악성코드를 실행할 수 있게 된다”고 경고했다. 하지만 익스플로잇에 대한 상세 정보는 추가로 밝히지 않고 있다. 안전상의 문제 때문인 것으로 추정된다.
CISA의 보충 설명
이 문제에 대해서는 미국의 연방 사이버 보안 전담 기관인 CISA 역시 따로 경고문을 냈다. CISA가 다뤘다는 건 KEV 목록에 문제의 취약점들이 등재됐다는 의미다. KEV는 현재 실제 해킹 공격에 이용되고 있는 취약점들만을 뽑아 둔 목록으로, ‘긴급히 패치해야 할 취약점’들만 골라 담겨 있다고 할 수 있다. CISA는 모든 미국 연방 기관에 “24시간 안에 패치를 적용하라”는 명령을 내린 상태다.
CISA까지 이렇게 급하게 나선 것은 두 가지 이유다. 두 가지 취약점을 연쇄적으로 익스플로잇 할 때의 위험성이 지대하다는 것과, 문제가 된 시스코 제품들이 광범위하게 사용되고 있다는 것이다. CISA는 “실제 이 두 가지 취약점을 익스플로잇 하려는 악성 캠페인은 광범위하게 진행되고 있다”며 “피해자 시스템의 재부팅 및 읽기 전용 메모리(ROM) 무단 조작 등이 가능하다”고 설명했다.
시스코는 취약점과 관련된 상황에 대해 구체적으로 공개하지 않고 있는데, CISA는 사뭇 다르다. 이번 경고문을 통해 해당 캠페인이 아케인도어(ArcaneDoor)라는 해킹 조직과 관련이 있다고 짚은 것이다. 아케인도어는 이전부터 여러 IT 제조사들의 제품을 위협했던 해커들이다. 시스코 역시 이전에도 아케인도어에 당한 바 있다.
취약점 단일 익스플로잇 vs. 연쇄 익스플로잇
취약점을 하나만 익스플로잇 하는 것과, 여러 개를 잇따라 익스플로잇(이를 체이닝(chaining)이라고도 한다) 하는 것에는 중대한 차이가 있을 수 있다. 보통 취약점들 하나만으로는 복합적인 공격을 할 수 없기 때문이다. 권한 상승 취약점은 권한만 상승시키고, 횡적 이동을 가능케 하는 취약점은 횡적 이동만 하게 한다. 최초 침투에 사용되는 취약점도 마찬가지다. 그러므로 최초 침투 취약점 하나만 익스플로잇 한다면 공격자가 침투에 성공한다 하더라도 그 후에 할 수 있는 일이 그리 많지 않다. 그래서 공격자들은 최초 침투 후 백도어 등을 심어 정보를 빼돌린 뒤 추가 공격을 기획한다.
하지만 최초 침투 이후 공격자가 권한 상승 취약점을 이어서 익스플로잇 하면 어떻게 될까? 높아진 권한으로 보다 효과적인 공격을 할 수 있게 된다. 횡적 이동이 가능한 취약점까지 익스플로잇 하면, 공격자는 피해자 네트워크 내에서 여기 저기 움직이며 권한을 상승시킬 수 있다. 그러므로 피해자 조직 내 심장과 같은 곳을 직접 겨냥할 수도 있게 된다.
취약점의 연쇄 익스플로잇이 갖는 장점(공격자 입장에서)은 또 있다. CVSS 점수가 낮은, 그러므로 방어자의 주목도가 낮은 취약점도 알차게 활용할 수 있다는 것이다. 보통 패치는 CVSS 점수가 높은 것부터 실시하며, 낮은 점수대의 취약점은 간과되기도 한다. 공격자 입장에서는 점수가 낮더라도 사용자가 신경 쓰지 않는 취약점이 더 달가울 때가 있는데, 취약점을 연쇄적으로 익스플로잇 하면 이러한 장점이 극대화 된다.
취약점 연쇄 익스플로잇에는 단점(공격자 입장에서)도 있다. 익스플로잇을 여러 번 하는 것이기 때문에 실행 난이도가 높다. 여러 부분의 다양한 취약점을 건드리는 것이기 때문에 탐지 가능성 역시 높아진다. 은폐 기술이 뛰어나야 한다. 즉 아무나 시도할 수 없는 공격이라는 의미가 된다.
하지만 사이버 공격자들의 실력이 상향평준화 되고 있어, 언젠가는 연쇄 익스플로잇이 ‘평범한 공격 형태’가 될 수 있다. 최근 유행하고 있는 ‘자급자족 공격(LotL Attack)’이라든가, 다단계 공격 역시 불과 5~6년 전만 해도 고급 해커들만 구사할 줄 아는 기술이었다. 지금은 거의 모든 공격이 이런 식으로 진행된다.
Related Materials
- CISA warns urgent patch for Cisco vulnerabilities exploited in ArcaneDoor espionage campaign - CyberNews, 2025년
- CISA orders agencies to patch Cisco flaws exploited in zero-day attacks - BleepingComputer, 2025년
- CISA says it observed nearly year-old activity tied to Cisco zero-day attacks - CyberScoop, 2025년
- CISA alerts federal agencies of widespread attacks using Cisco zero-days - CyberScoop, 2025년
문가용 기자
문가용 기자
![[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다](https://images.unsplash.com/photo-1762468046498-461933328de6?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIyfHxjaXRpemVuc2hpcHxlbnwwfHx8fDE3Njc4ODE0NjR8MA&ixlib=rb-4.1.0&q=80&w=600)
