Cisco Unified CM CVE-2026-20230은 CVSS 8.6 SSRF 취약점으로 비인증 공격자가 파일 쓰기를 통해 root 권한 탈취 가능. PoC 이미 유포, 패치 14SU6 즉시 적용 필요.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월 3일, Cisco가 Unified Communications Manager의 서버 사이드 요청 위조(SSRF) 취약점 을 공개하며 어드바이저리를 발행했다. 어드바이저리 발행과 동시에 PoC 익스플로잇 코드가 이미 인터넷에 유포 중이라는 사실이 확인됐다. 비인증 공격자가 네트워크에서 파일을 심고 root 권한을 획득할 수 있는 2단계 체인 구조다. 단, 2단계의 구체적인 경로는 Cisco가 패치 전 공개를 보류 중이다. 2026년 1월 같은 제품군에서 실제 공격이 확인된 의 전례가 있어 위험도 평가가 더 높다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS v3.1 | 8.6 (High) · AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N |
| Cisco 내부 등급 | Critical |
| 항목 | 내용 |
|---|---|
| 취약 제품 | Unified CM 14 · 15, Unified CM SME |
| 취약 조건 | WebDialer 서비스 활성화 시 |
| 패치 버전 | Unified CM 14SU6(즉시), Unified CM 15는 COP1 임시 패치 또는 15SU5(2026년 9월 예정) |
Cisco Unified Communications Manager(Unified CM)는 엔터프라이즈 IP 전화, 소프트폰, 화상회의 엔드포인트를 통합 제어하는 콜 관리 플랫폼이다. 클러스터당 최대 4만 개 기기를 관리하며, 대형 병원·금융기관·통신사에서 음성 통신 인프라의 핵심 허브로 운영된다. 이 시스템이 침해되면 조직 전체 통신망이 공격자 통제 아래 놓일 수 있다.
이 주목받는 이유는 3가지다. 첫째, 인증이 전혀 필요하지 않다(PR:N). 둘째, 공격 복잡도가 낮아 자동화된 스캔에도 포착될 수 있다(AC:L). 셋째, PoC 코드가 이미 유포 중이어서 어드바이저리 공개 후 악용까지의 시간 여유가 짧다.
Cisco PSIRT는 2026년 6월 3일 기준 실제 공격 사례를 확인하지 못했다고 밝혔다. 그러나 같은 Unified CM 제품군에서 2026년 1월에 발생한 RCE 제로데이 는 실제 공격이 확인되어 CISA KEV에 등재됐고, 연방기관 패치 기한이 2026년 2월 11일로 지정된 바 있다. 이 전례는 의 현실적 위협 가능성을 높이는 맥락이다.
취약 지점은 Cisco WebDialer Web Service다. WebDialer는 브라우저 기반 click-to-call 기능을 제공하는 서비스로, Cisco Tomcat 컨테이너 내에서 실행된다. Cisco 어드바이저리에 따르면, 특정 HTTP 요청 처리 과정에서 입력값 검증이 누락되어 있다.
공격은 두 단계로 구성된다. 1단계에서 공격자는 SSRF 취약점을 통해 WebDialer가 처리하는 요청을 조작해 서버 내부 파일 시스템에 임의 파일을 쓴다. 2단계에서 이 파일 쓰기를 활용해 root 권한을 획득한다. 2단계의 구체적인 경로는 Cisco가 패치 완료 전까지 공개를 보류하고 있다. 복수의 보안 보도는 크론 디렉터리나 SSH 인증키 경로 등 일반적인 파일 쓰기 기반 권한 상승 기법이 사용될 수 있다고 추정한다.
공격이 성립하려면 WebDialer 서비스가 활성화 상태여야 한다. 기본값은 비활성화지만, 기업 click-to-call 환경에서는 흔히 활성화된 상태로 운영된다.
의 공개 타임라인은 빠르게 전개됐다. 2026년 6월 3일 Cisco 어드바이저리가 발행됐고, 동일 시점에 PoC 익스플로잇 코드의 인터넷 유포가 확인됐다. Cisco PSIRT는 같은 날 기준으로 실제 악용 사례는 아직 확인하지 못했다고 밝혔으나, 공개와 동시에 PoC가 유통되는 구조는 악용 전환까지의 창이 매우 좁다는 것을 의미한다.
Cisco는 지난 5년간 자사 취약점 91건이 CISA에 의해 실제 공격 확인으로 분류됐으며, 그 중 6건은 랜섬웨어 그룹에 활용됐다고 밝혔다. 엔터프라이즈 통신 인프라를 겨냥한 의 CISA KEV 등재 사례가 이 맥락을 뒷받침한다.
공격은 여러 흔적을 남길 수밖에 없다.
네트워크 계층: WebDialer 서비스(기본 포트 8443) 대상으로 비인증 HTTP 요청이 반복적으로 전송되는 패턴이 나타난다. 정상적인 click-to-call 사용자 행동과 다른 페이로드 구조나 요청 빈도가 탐지 단서다.
호스트 계층: 크론 디렉터리(/etc/cron.*)나 SSH 인증키 경로(.ssh/authorized_keys)에 예상치 못한 파일이 생성되는 이벤트, 그리고 WebDialer 프로세스에서 root 권한 자식 프로세스가 생성되는 흔적이 남는다.
MITRE ATT&CK 매핑 (추정):
| T-번호 | 기법 | 적용 맥락 |
|---|---|---|
| T1190 | Exploit Public-Facing Application | WebDialer 서비스 원격 악용 |
| T1068 | Exploitation for Privilege Escalation | 파일 쓰기를 통한 root 권한 상승 |
Cisco 공식 어드바이저리에는 ATT&CK 매핑이 명시되지 않아 위 분류는 기법 정의에 근거한 추정이다.
Cisco가 한국어 Unified CM 관리자 가이드를 공식 제공할 만큼 국내 도입이 광범위하다. 대형 병원·금융기관·공공기관 등 엔터프라이즈 환경에서 IP PBX 기반으로 Unified CM이 운영되고 있다. 이 취약점의 노출 면적은 WebDialer 서비스 활성화 여부에 좌우된다. WebDialer가 켜져 있으면 비인증 공격 표면이 그대로 열려 있고, 꺼져 있으면 이 경로 자체가 닫힌다. PoC가 이미 유포 중인 상황에서, 패치 전 단계의 노출 면적을 줄이는 직접적인 방법으로 WebDialer 비활성화가 거론된다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.