팔로알토 GlobalProtect VPN의 인증 우회 취약점 CVE-2026-0257이 패치 공개 나흘 만에 실제 공격에 악용됐다. CVSS 7.8 중간 심각도였지만 16일 만에 CISA 긴급 목록에 올랐다. 두 차례 공격 파동과 SK텔레콤 유심 사고로 본 엣지 VPN 장비의 위험.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 13일, 팔로알토 네트웍스는 GlobalProtect VPN의 인증 우회 취약점 을 공개했다. 심각도는 CVSS 7.8로 '높음' 등급이었지만 만점인 10.0과는 거리가 있었고, 패치도 같은 날 함께 나왔다. 악용에 필요한 조건도 까다로워 보였다. 보안 담당자 다수가 "당장 긴급은 아니다"라고 판단할 만한 조합이었다. 그러나 나흘 뒤인 5월 17일, 보안 기업 Rapid7의 관제 센터에 첫 경보가 울렸다. 누군가 이미 이 취약점을 실제 공격에 쓰고 있었다.
GlobalProtect는 팔로알토 방화벽에 탑재된 원격 접속 VPN 기능이다. 직원이 사외에서 사내망에 접속하는 관문이고, 그래서 인터넷에 직접 노출된다. 이 관문이 뚫리면 공격자는 곧바로 내부망 입구에 서게 된다.
의 뿌리는 '인증 오버라이드 쿠키'라는 편의 기능에 있다. 사용자가 매번 다시 로그인하지 않도록 발급하는 세션 쿠키다. 문제는 이 쿠키를 암복호화하는 인증서를 HTTPS 서비스 같은 다른 기능과 함께 재사용할 때 생긴다. 장비가 쿠키를 복호화한 뒤 서명을 제대로 검증하지 않기 때문이다. 미국 표준에서 이 결함은 CWE-565, 즉 '무결성 검증 없는 쿠키 의존'으로 분류된다.
여기서 인증서 재사용이 치명적이 된다. HTTPS 인증서는 본래 접속하는 누구에게나 공개되는 것이다. 같은 인증서를 쿠키 검증에도 함께 쓰면, 이미 공개돼 있는 그 공개키만으로 유효한 것처럼 보이는 인증 쿠키를 위조할 수 있게 된다. 인증서를 따로 탈취할 필요조차 없다. 그 쿠키 한 장이면 로그인 절차를 통째로 건너뛴다.
악용 조건은 세 가지가 동시에 맞아야 한다. GlobalProtect 포털 또는 게이트웨이가 구성돼 있고, 인증 오버라이드 쿠키 기능이 켜져 있으며, 그 쿠키 처리용 인증서가 다른 기능과 공유돼 있을 때다. 관리 서버 Panorama와 Cloud NGFW는 영향을 받지 않는다고 팔로알토는 명시했다.
5월 17일 시작된 공격은 두 차례 파동으로 나뉘었다. Rapid7의 관측에 따르면 1차 파동은 5월 18일 새벽 한 클라우드 호스팅 인프라에서, 2차 파동은 5월 21일 별도 호스팅에서 일어났다. 두 파동 모두 장비의 로컬 관리자 계정을 노렸고, 위조한 인증 오버라이드 쿠키로 게이트웨이 인증을 통과시키려 시도했다.
주목할 단서는 두 공격의 트래픽에 찍힌 위조 MAC 주소가 동일했다는 점이다. 공격 인프라인 호스팅 IP는 1차와 2차가 서로 달랐지만, 공격에 쓰인 도구와 설정에서는 같은 흔적이 남은 것이다. Rapid7은 이를 근거로 인프라만 바꿔가며 움직인 동일 행위자일 가능성이 높다고 분석했다. 다만 특정 APT 그룹이나 캠페인 이름은 어느 공개 보고서에도 붙지 않았다. 정체불명의 단일 공격자가 패치 공개 나흘 만에 움직이기 시작한 셈이다.
5월 29일, 미국 사이버안보·인프라보안국(CISA)은 이 취약점을 '알려진 악용 취약점(KEV)' 목록에 올리고 연방기관에 6월 1일까지 조치하도록 못박았다. 패치 공개에서 KEV 등재까지 걸린 시간은 16일이었다.
규모만 보면 이번 캠페인의 실제 피해는 제한적이었다. Rapid7이 악용을 관측한 고객 10곳 가운데 8곳에서는 인증 시도까지만 확인됐고, 완전한 VPN 세션 수립이나 내부망 측면 이동으로 이어지지는 않았다. 공격자가 문 손잡이를 돌렸지만 대부분 안으로 들어오지는 못한 상태였다.
문제는 같은 관문, 즉 GlobalProtect를 노린 과거 공격이 어떤 결과를 냈느냐다. 2024년 이 제품에서는 명령 주입 취약점 이 터졌다. CVSS 10.0 만점짜리 제로데이였다. UTA0218로 추적된 공격자가 이를 악용해 'UPSTYLE'이라는 맞춤형 백도어를 심고 설정 데이터를 탈취했다. 같은 관문, 다른 결함, 훨씬 큰 피해였다.
한국 독자에게 이 계보가 남의 일이 아닌 이유는 2025년에 이미 드러났다. SK텔레콤 유심 정보 유출 사고에서 초기 침입 경로 중 하나로 VPN 장비 취약점이 지목됐다. 이 사고로 가입자 약 2,324만 명의 유심 인증 정보가 유출됐다. 개인정보보호위원회는 역대 최대인 1,347억 원의 과징금을 부과했다. 경계 장비 한 대의 인증 결함이 전국민급 사고의 입구가 된 사례다. 이 사건의 상세한 분석은 SK텔레콤 2324만명 유심 침해 분석에서 다뤘다.
이 남기는 교훈은 '중간 심각도'라는 라벨이 곧 안전을 뜻하지 않는다는 것이다. CVSS 7.8은 패닉을 부르는 숫자가 아니지만, 공격자에게는 패치 나흘 만에 실전에 투입할 만큼 매력적인 표적이었다. 인터넷에 노출된 인증 관문이라는 위치가 점수보다 중요했다.
이 흐름은 통계로도 확인된다. 맨디언트의 M-Trends 2025 보고서에 따르면 2024년 관측된 제로데이의 60% 이상이 보안·네트워크 어플라이언스를 겨냥했고, 가장 많이 악용된 상위 취약점 다수가 VPN과 방화벽, 라우터 같은 엣지 장비였다. 공격의 최전선이 엔드포인트에서 경계 장비로 옮겨왔다는 신호다. 이 구조적 변화는 VPN과 방화벽이 해커의 1순위 표적이 된 이유에서 더 자세히 다뤘다.
팔로알토는 한국 차세대 방화벽 시장의 주요 벤더 가운데 하나이고, KISA와 KrCERT는 PAN-OS 취약점 보안 권고를 꾸준히 발행해왔다. 에 대한 국내 전용 보도나 권고는 이 글을 쓰는 시점까지 확인되지 않았지만, 같은 GlobalProtect 계열 취약점은 과거 국내에서도 '긴급'으로 다뤄진 전례가 있다. 경계 장비를 신뢰의 출발점이 아니라 검증의 대상으로 보는 관점은 VPN 하나로 2,695만 건이 유출된 사례가 보여주는 흐름과도 맞닿아 있다.
패치는 5월 13일에 이미 나와 있었다. 이번 공격이 대부분 문턱에서 멈춘 것은 방어가 빨라서가 아니라 공격자의 도구가 아직 안정적이지 않았기 때문일 수 있다. 다음 공격자가 같은 행운을 남겨줄 것이라는 보장은 없다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.