2년 전 취약점 통해 퍼지는 배드캔디 임플란트

호주의 국가신호국(Australian Signals Directorate, ASD)이 현재 지속되고 있는 사이버 공격 캠페인에 대한 경고를 발표했다. 이 캠페인은 시스코(Cisco)의 IOS XE를 표적으로 하고 있으며, 공격 과정 중에 배드캔디(BADCANDY)라는 신규 임플란트가 사용되고 있다고 한다. 공격자들이 익스플로잇 하는 것은 CVE-2023-20198이라는 오래된 취약점이다.

CVE-2023-20198

이 취약점 CVE-2023-20198은 번호에서도 볼 수 있듯 2023년에 발견된 것이다. 인증 단계를 거치지 않은 공격자가 권한을 상승시킬 수 있게 해 주는 취약점으로, 발견 당시 CVSS 점수가 무려 10점이었다. 익스플로잇에 성공할 경우 공격자는 시스템을 완전히 장악할 수 있게 된다. 발견 이후 실제 공격에 꾸준히 활용돼 왔고, 최근에는 설트타이푼(Salt Typhoon)이라는 중국 해커들이 악용하기도 했었다.

취약점이 발견된 곳은 시스코 IOS XE의 웹 기반 인터페이스다. ‘웹’ 인터페이스이기 때문에 인터넷과 연결돼 있어 원격 공격이 가능하다. 취약점 익스플로잇을 통해 권한을 상승시킨 공격자는 관리자급 계정을 생성할 수도 있고, 관리자 권한을 가지고 각종 파일 설치 및 편집, 삭제 등의 악성 행위를 할 수 있게 된다. 당연히, 악성 요소 설치도 가능하다. 시스코가 이미 배포한 패치를 통해 위험에서 벗어날 수 있다.

이 ‘악성 요소 설치 가능’이 이번 캠페인의 핵심이다. 이를 통해 공격자가 배드캔디를 심고 있기 때문이다. 배드캔디는 2023년 10월에 처음 탐지됐고 2024년과 2025년에도 여러 번 발견됐지만, 한 번도 공식 문서 기록으로 남지 않았다. 2025년 7월 이후에만 호주에서 총 400대 이상의 장치가 배드캔디에 감염된 것으로 집계되고 있는데, 150대는 10월 한 달 동안에만 당한 것으로 ASD는 분석하고 있다.

배드캔디

ASD가 공개한 배드캔디는 루아(Lua) 기반의 웹 셸이다. 일종의 임플란트로 분류된다. 멀웨어이지만 작고 단순한 구조를 가지고 있다는 의미다. 그렇기 때문에 공격 지속성 확보와 같은 고급 기능을 탑재하고 있지는 않으며, 따라서 피해자가 시스템을 재부팅 하면 사라진다. 

그렇다면 공격자들은 어떻게 공격을 지속시킬까? 배드캔디를 통해 추가 계정을 만들거나, 한 번 침해된 장비를 반복적으로 침해해 배드캔디를 심기도 한다고 ASD는 경고한다. 계정을 통해 또 다른 진입 통로를 확보하든가, 한 번 갔던 길을 여러 번 재방문하던가, 둘 중 하나라는 것이다.

여기서 한 가지 이상한 점이 있다. 한 번 침해된 장비를 반복적으로 침해한다는 것이 의아하다. 이미 2년 전에 패치까지 나온 취약점을 여러 번 익스플로잇 하는 게 가능할까? 안타깝지만 그게 현실이다. 최신 패치를 수년 동안 적용하지 않은 채 취약점을 방치하고, 심지어 사고가 터져도 문제로 지적된 부분을 개선하지 않는 경우가 부지기수다. 공격자들이 임플란트처럼 작고 단순한 공격 도구를 쓰면서, ‘침투 반복’이라는 원시적인 전략을 구사해도 성과를 거두는 건 이 때문이다. 

그럼 이 간단한 공격 도구를 통해 공격자들은 무엇을 할 수 있을까? “공격자가 원하는 명령을 실행시킬 수도 있고, 파일 업로드나 다운로드, 수정 등으로 정보 탈취를 할 수 있다. 네트워크 장비의 설정도 변경시킬 수 있고, 이를 통해 트래픽을 가로챌 수도 있으며, 백도어를 심는 것도 가능하다. 거기서부터 또 다른 공격을 이어갈 수 있다. 

재부팅에는 한계가 있다

혹자는 이렇게 질문할 수 있다. ‘패치를 제대로 하지 않더라도, 시스템을 자주 재부팅해주면 배드캔디 류의 위협은 막을 수 있는 거 아닌가?’ 그럴 수도 있고 아닐 수도 있다. 시스템을 재부팅한다면, 배드캔디를 사용하는 공격자를 성가시게 할 수 있고, 심지어 쫓아보낼 수도 있다. 자꾸만 침해하려는 시도를 꺾을 수도 있다. 

하지만 이미 수행한 공격을 되돌릴 수는 없다. 이미 공격자들이 악성 계정을 만들었다면, 이미 어느 정도 정보를 빼돌렸다면, 이미 백도어를 심었다면, 시스템을 껐다 켜는 것만으로 그것들을 다 취소시킬 수는 없다는 의미다. 계정은 그대로 남아 있고, 빠져나간 정보가 돌아오지 않으며, 백도어가 저절로 삭제되지 않는다. 그래서 재부팅이 ‘보안 수칙’으로서 권장되는 사례는 없다.

가장 좋은 대책은 시스코가 이미 오래 전에 배포한 패치를 적용하는 것이다. 하지만 패치 적용도 재부팅과 마찬가지로 이미 수행된 공격을 없는 것으로 만들지는 못한다. 그러므로 패치 적용 후 시스템과 망을 스캔하여 위협 요소를 추가로 찾아내야 한다. 웹 인터페이스를 인터넷으로부터 분리해 두는 것도 좋은 방법이다. 높은 권한을 가진 계정이 최근 생성된 적이 있다면 검토 후 삭제하는 것도 필요하다.

시스코는 자사 웹사이트를 통해 IOS XE 소프트웨어를 안전하게 사용하는 방법을 가이드라인 형태로 제공하고 있다. 해당 가이드라인은 여기를 통해 열람이 가능하다.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• How your devices could be implanted and what to do about it (BADCANDY advisory), Australian Signals Directorate, 2024년
• ASD Warns of Ongoing BADCANDY Attacks Exploiting CVE-2023-20198, The Hacker News, 2024년
• Don't take BADCANDY from strangers – How your devices could be implanted (detailed PDF), Australian Signals Directorate, 2024년
• BadCandy Webshell Threatens Unpatched Cisco IOS XE Devices, Security Affairs, 2024년

시스코 제품의 두 가지 취약점, 긴급 패치 요망

💡Editor’s Pick - 9.9점짜리 취약점 하나, 6.5점짜리 취약점 하나 - 연쇄적으로 익스플로잇 되고 있어 더 위험 - CISA 역시 나서서 “24시간 안에 패치하라” 명령 시스코(Cisco)에서 긴급 패치를 배포하기 시작했다. 시스코 보안 방화벽의 ASA(Adaptive Security Appliance) 소프트웨어와, FTD(Firewall Threat Defense) 소프트웨어에서 발견된 것으로, 시스코는 고객들에게

The Tech Edge문가용 기자

시스코 제품에서 발견된 10점짜리 취약점 3개, 조속한 패치 필요

💡Editor’s Pick - 시스코 네트워크 제품 일부에서 3개 취약점 발견됨 - 전부 10점 만점짜리 초고위험도 취약점 - 원격 공격자가 임의 명령 시행할 수 있게 해 줌 시스코 제품에서 발견된 취약점이 실제 해킹 공격에 악용되고 있다고 시스코가 발표했다. 문제의 제품은 ‘아이덴티티서비스엔진(Identity Services Engine, ISE)’과 ’ISE 패시브아이덴티티커넥터(Passive Identity Connector,

The Tech Edge문가용 기자