Security

시스코, CVSS 10점 치명적 FMC 취약점 경고

Donghwi Shin

Published: 17:35, 24 Aug 2025 (Updated: 21:56, 14 Jan 2026)

[이미지: AI Generated by TheTechEdge]

글로벌 네트워크 장비 업체 시스코가 자사 ‘Secure Firewall Management Center(FMC) 소프트웨어’에서 치명적인 보안 취약점이 발견됐다며 긴급 보안 패치를 배포했다. 이번 취약점은 CVE-2025-20265로 식별됐으며, CVSS(공통 취약점 평가 시스템) 기준 만점인 10.0점을 받았다. 이는 보안 업계에서 가장 심각한 수준으로 분류되는 등 긴급 대응이 필요하다는 의미다.

이번 취약점은 FMC 소프트웨어의 RADIUS(원격 인증 다이얼인 사용자 서비스) 하위 시스템 구현 과정에서 발생한다. 인증 단계에서 사용자 입력 값을 적절히 검증하지 않는 문제로 인해, 원격의 인증되지 않은 공격자가 특수하게 조작된 입력값을 전달할 경우 임의의 셸(shell) 명령이 기기에서 실행될 수 있다. 시스코는 보안 권고문을 통해 “공격자가 성공적으로 악용하면 높은 권한 수준에서 임의의 명령을 실행할 수 있다”고 설명했다.

특히 이번 취약점은 FMC 소프트웨어의 웹 기반 관리 인터페이스나 SSH 관리 기능에서 RADIUS 인증을 활성화했을 때 악용 가능하다. 즉, 시스템 관리자가 보안을 위해 RADIUS 기반 인증을 사용하도록 설정했을 경우, 오히려 외부 공격자에게 취약점을 노출시키는 결과를 초래할 수 있는 것이다.

영향을 받는 버전은 Cisco Secure FMC 소프트웨어 7.0.7 및 7.7.0 릴리스이며, 두 버전에서 RADIUS 인증 기능이 활성화돼 있을 경우 위험에 노출된다. 시스코는 현재 이 문제에 대한 대체책이나 우회 방법은 없으며, 유일한 대응 방안은 이번에 제공된 보안 패치를 즉시 적용하는 것이라고 강조했다.

이번 취약점은 시스코 내부 보안 테스트 과정에서 발견됐다. 발견자는 시스코 소속 보안 전문가 브랜든 사카이(Brandon Sakai)로 알려졌다. 시스코는 내부적으로 보안 점검을 강화하고 있으며, 이번 사례는 기업이 사전에 취약점을 찾아내 공개·패치하는 전형적인 ‘선제적 대응’의 일환이라고 설명했다. 하지만 CVSS 만점의 취약점이 실제 서비스 중인 제품에서 발견된 만큼, 사용자와 기업 입장에서는 신속한 대응이 요구된다.

보안 전문가들은 이번 취약점을 방치할 경우 공격자가 원격에서 FMC 관리 시스템을 완전히 장악할 수 있다고 경고한다. 이는 방화벽 정책 설정, 네트워크 트래픽 제어, 로그 확인 등 핵심 보안 기능이 무력화될 수 있음을 의미한다. 더 나아가 FMC가 관리하는 방화벽 장비 전체가 공격자의 지배 하에 놓일 가능성도 배제할 수 없다. 특히 FMC는 기업 네트워크의 중앙 집중형 보안 관리 허브 역할을 수행하기 때문에, 단일 취약점이 전체 보안 체계에 치명적인 영향을 미칠 수 있다.

이번 사건은 사용자 입력 검증 실패라는 고전적인 보안 문제에서 비롯됐다. 보안 업계에서는 “기본적인 입력값 검증 부족이 여전히 대규모 보안 위협으로 이어지고 있다”는 점에서 교훈을 찾을 수 있다고 지적한다. 입력값을 필터링하지 않거나 적절히 처리하지 않을 경우, 공격자가 이를 악용해 시스템 명령 실행으로 이어지는 사례가 과거에도 다수 존재했기 때문이다. 그러나 이번 취약점은 인증 과정이라는 핵심 보안 절차에서 발생해 그 심각성이 더욱 크다.

기업과 기관의 보안 관리자는 FMC 소프트웨어의 버전과 인증 설정을 즉시 점검해야 한다. 7.0.7 또는 7.7.0 버전을 사용하는 경우, 보안 패치를 신속히 적용하지 않으면 원격 코드 실행 공격에 그대로 노출될 수 있다. 또한 보안 패치 적용 전까지는 외부 네트워크를 통한 RADIUS 인증 접근을 제한하거나, 임시로 로컬 인증으로 전환하는 방안도 고려해야 한다.

시스코는 “시스템 보안을 강화하고 유사 취약점 재발을 방지하기 위한 내부 프로세스를 개선하고 있다”며, 고객들에게 반드시 최신 보안 패치를 설치할 것을 재차 권고했다.

네트워크 보안 업계에서는 이번 사건을 계기로 “보안 장비 자체가 공격 표적이 될 수 있다”는 경각심을 다시금 확인해야 한다는 목소리가 높다. 방화벽과 같은 핵심 보안 솔루션은 외부 위협으로부터 조직을 보호하는 최전선에 있는 만큼, 이들 장비의 취약점은 조직 전체의 보안 태세를 무너뜨릴 수 있다.

결국 이번 사례는 보안 장비도 ‘완벽하지 않다’는 사실을 보여준다. 기업은 장비의 보안 업데이트를 정기적으로 점검하고, 공급업체의 보안 권고문을 적극적으로 모니터링하는 체계를 갖춰야 한다. 단일 취약점이 전체 네트워크 방어 체계를 붕괴시킬 수 있다는 점에서, 이번 시스코 FMC 취약점은 단순한 기술 결함이 아닌 ‘조직 보안 리스크’로 받아들여져야 한다.