2025년 9월부터 2026년 3월까지 미국 연방기관 시스코 ASA 방화벽에 잠복한 Firestarter 백도어. CVE-2025-20333·CVE-2025-20362 익스플로잇과 CSP 마운트 목록 조작으로 보안 패치를 무력화한 UAT-4356의 ArcaneDoor 후속작을 분석한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년 9월, 미국 연방민간행정부(FCEB) 산하 한 기관의 데이터센터에서 평범해 보이는 시스코 ASA 방화벽 한 대가 인터넷에 노출돼 있었다. 그 안에 누군가 자리를 잡았다. 6개월 동안 보안 패치가 거듭 적용됐고 펌웨어가 갱신됐지만, 그것은 사라지지 않았다. 2026년 3월에야 모습을 드러낸 백도어의 이름은 Firestarter였다.
CISA와 영국 NCSC는 2026년 4월 24일 공동 권고를 발표했다. 미국 사이버보안인프라보안청(CISA)은 분석 보고서 AR26-113A에서 이 백도어를 추적해 온 시스코 탈로스의 위협 행위자 식별자 UAT-4356을 확정했다. 같은 행위자는 2024년 ArcaneDoor 캠페인의 주인공이었다.
이번 사건의 무게는 단순한 침해가 아니다. 일반적인 보안 패치 적용 절차와 펌웨어 업데이트가 공격자를 막지 못했다는 데 있다. 패치를 끝으로 사고를 닫는다는 가정 자체가 흔들렸다.
UAT-4356은 시스코 탈로스가 2024년부터 추적해 온 위협 행위자다. 마이크로소프트 위협 인텔리전스는 같은 그룹을 STORM-1849로 분류하며 중국 연계로 평가했다. 표적은 일관됐다. 인터넷 경계의 보안 장비, 특히 시스코 ASA와 Firepower 방화벽이다.
2024년의 ArcaneDoor 캠페인에서 이 그룹은 Line Runner와 Line Dancer라는 두 개의 백도어를 사용했다. 각각 2단계로 동작하며 설정 변경, 정찰, 트래픽 캡처와 외부 유출을 수행했다. 활동 시기는 2023년 7월부터 2024년 4월까지로 평가된다. 이때 익스플로잇된 취약점은 , , 세 건이다.
당시 시스코 탈로스의 분석은 두 가지 면에서 보안 업계에 충격을 줬다. 첫째, 공격 무대가 인터넷에 노출된 보안 장비라는 점이었다. 워크스테이션이나 도메인 컨트롤러가 아니라 외부 트래픽이 가장 먼저 닿는 길목 그 자체였다. 둘째, 두 단계 백도어 조합이 정찰과 명령 실행을 분리해 운영자의 정상적인 콘솔 점검을 회피하도록 설계됐다는 사실이었다.
시스코의 패치와 시스코 탈로스의 공개 분석 이후 그룹의 활동은 잠잠해졌다. 그러나 잠잠함은 끝이 아니라 다음 작전을 위한 침묵이었다. UAT-4356은 같은 표적군에 대해 더 깊이 박히는 도구를 준비하고 있었다. 그 결과물이 이번 Firestarter다.
초기 침투는 시스코가 2025년 9월 공개한 두 개의 취약점을 결합한 익스플로잇에 의존했다. 은 인증이 누락된 원격 코드 실행이고, 는 버퍼 오버플로다. 공격자는 인터넷에 노출된 ASA 또는 FTD 장비의 WebVPN 인터페이스에 조작된 XML 요청을 보냈다. 그 요청은 LINA 프로세스 안에서 임의의 셸코드를 실행시켰다.
LINA는 ASA 운영체제의 핵심이다. 패킷 처리, VPN 종단, 방화벽 정책 평가가 모두 이 단일 프로세스에 모인다. 공격자가 그 안에 자리 잡으면 장비를 통과하는 모든 것이 잠재적 관찰 대상이 된다.
여기까지는 ArcaneDoor와 익숙한 그림이다. 진짜 새로움은 살아남는 방식에 있었다.
핵심은 시스코 서비스 플랫폼 마운트 목록이라 불리는 CSP_MOUNT_LIST 조작이었다. ASA 장비가 부팅할 때 어떤 바이너리를 어디에 마운트할지 정의하는 설정 파일이다. Firestarter는 이 파일을 다시 쓴다.
장비가 정상 종료 신호를 받거나 재부팅에 들어가는 그 순간 Firestarter가 움직인다. 본체 복사본을 /opt/cisco/platform/logs/var/log/svc_samcore.log라는 평범한 로그 파일처럼 보이는 경로에 숨긴다. 부팅이 끝나면 그 복사본이 다시 /usr/bin/lina_cs로 옮겨지고 실행된다.
시스코 탈로스는 이 자체 복원이 프로세스 종료 신호, 즉 정상 재부팅에 의해 트리거된다고 분석했다. 보안 패치를 적용하고 장비를 다시 켜는 그 순간이 Firestarter가 다시 활성화되는 순간이다. 결과적으로 패치는 적용되지만 Firestarter는 그대로다.
이 메커니즘은 6개월 동안 작동했다. 미국 연방기관의 운영자들은 정상적으로 패치를 받아 적용하고 장비를 점검했다. 그동안 백도어는 매 재부팅마다 부활했다.
Firestarter가 LINA 안에 자리 잡은 동안 어떤 일을 했는지에 대한 공개 분석은 제한적이다. 다만 LINA 프로세스의 위치를 생각하면 이론적 가능 범위는 넓다.
내부 네트워크로 향하는 패킷의 헤더와 본문, VPN 터널 협상 정보, 관리자 콘솔 세션이 모두 같은 프로세스 안에서 처리된다. 그 안에 자리 잡은 코드는 외부 방화벽 규칙을 바꾸지 않고도 트래픽을 들여다볼 수 있는 위치에 있다. 발각 직전 6개월간 어떤 정보가 흘러나갔는지는 외부에서 답할 수 없다.
CISA가 공식 확인한 피해 대상은 미국 FCEB 산하 기관 한 곳이다. CISA는 정확한 최초 익스플로잇 시점을 단정하지 못했지만 2025년 9월 초로 평가했다. 해당 기관이 보안 패치를 적용하기 전이었다.
보고된 영향 범위는 더 넓다. CISA와 영국 NCSC는 4월 24일 공동 권고에서 미국 FCEB 기관과 영국 조직이 모두 표적임을 명시했다. 정부 네트워크와 핵심 인프라가 이번 캠페인의 무대다.
CISA는 비상 지침 ED 25-03을 갱신했다. 모든 연방 민간기관에 시스코 방화벽 메모리 스냅샷을 점검·제출하라고 요구했다. 단순 패치 적용으로는 Firestarter 잔존 여부를 확인할 수 없다는 점을 분석 보고서에서 명시했다.
Firestarter를 메모리에서 완전히 걷어내는 유일한 방법은 장비 전원을 물리적으로 끊는 hard power cycle이다. 따뜻한 재부팅, 즉 운영체제가 정상적인 종료 신호를 받는 절차로는 부팅 시퀀스 안의 자기 복원 루틴이 다시 작동한다. 콘솔에서 reload 명령을 내리거나 원격 GUI에서 재부팅 버튼을 누르는 행위가 모두 여기에 해당한다.
또 한 가지 무거운 사실은 표본이 공개되지 않았다는 점이다. CISA의 공동 권고는 영향받는 ASA 9.x 및 FTD 7.x 라인을 명시했다. 그러나 4월 25일 시점 기준 공식 IOC로 공개된 SHA-256 해시나 C2 도메인은 없다.
운영자들이 자체 환경에서 Firestarter를 식별하려면 부팅 시퀀스 조작 흔적과 비정상적인 로그 파일 위치를 직접 살펴야 한다.
이번 사건이 어떻게 발각됐는지에 관한 세부도 흥미롭다. 2026년 3월 시점, 해당 연방기관은 정기 패치 적용 후에도 무언가 이상하다고 느꼈다. 결국 메모리 스냅샷 분석을 통해 LINA 프로세스 안에 비정상 코드 영역이 드러났다.
패치 후 재부팅에도 같은 흔적이 다시 나타나는 패턴이 결정적이었다. 펌웨어 업데이트 후 일반 검증 절차로는 보이지 않고, 메모리 단면을 떠서 비교해야만 잡히는 종류의 침해였다.
펌웨어 패치는 보안 운영의 종착역으로 여겨졌다. 패치가 있고 적용 절차가 있으면 위협이 닫힌다는 가정이다. Firestarter는 이 가정을 정면으로 깬다. 같은 행위자가 같은 표적군에 대해 같은 종류의 도구를 더 깊이 박아 넣었고, 그 깊이가 실제 운영 절차를 우회했다.
특히 인터넷 경계의 방화벽이 표적이라는 점이 무겁다. ASA와 Firepower는 외부에서 들어오는 모든 트래픽이 통과하는 단일 지점이다. 공격자가 LINA 프로세스에 자리 잡으면 패킷 흐름과 VPN 인증 정보를 모두 관찰 범위에 둘 수 있다. 한 장비가 6개월간 살아 있는 동안 어떤 트래픽이 노출됐는지는 외부에서 측정하기 어렵다.
ArcaneDoor부터 Firestarter까지 같은 행위자가 같은 시스코 라인에 두 차례 반복적으로 침투에 성공했다는 점도 시사하는 바가 크다. 1차 캠페인의 공개 이후 시스코는 패치를 발표했고 위협 인텔리전스 보고서는 폭넓게 공유됐다. 그럼에도 같은 그룹은 새로운 취약점 두 건을 확보해 더 단단한 백도어를 들고 돌아왔다. 표적이 매력적인 한 행위자는 사라지지 않는다.
한국 환경에서도 이 점은 무관하지 않다. 시스코 ASA와 FTD는 공공·금융·통신 영역에 광범위하게 배치돼 있다. 4월 25일 시점 기준 KISA의 별도 공식 권고는 확인되지 않았다. 다만 동일한 ASA 9.x 및 FTD 7.x 라인이 국내에서 가동 중이라는 사실 자체로 이번 사건이 던지는 함의는 국제적이다.
또 다른 시사점은 메모리 포렌식의 역할이다. Firestarter는 디스크 위 파일 단위 점검으로는 잡히지 않는 대상이었다.
펌웨어 점검 도구가 보고하는 정상 상태와 실제 메모리 안에 살아 있는 코드 사이에 큰 간극이 존재한다. 메모리 단면을 떠서 분석하는 절차가 정기 점검에 포함돼야 한다는 신호다. CISA가 이번 비상 지침에서 메모리 스냅샷 제출을 별도로 명시한 이유도 같은 맥락이다.
UAT-4356은 이번에도 같은 메시지를 남겼다. 인터넷에 노출된 보안 장비 그 자체가 표적이다. 제조사의 패치 사이클이 공격자의 침투 사이클을 항상 따라잡지는 못한다.
같은 행위자가 ArcaneDoor에서 한 발 더 나아가 Firestarter를 들고 돌아온 6개월의 공백이 가르쳐 주는 사실은 분명하다. 침묵이 곧 안전은 아니다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0