CVSS 10.0 Cisco FMC 제로데이가 패치 36일 전부터 악용됐다. Interlock 랜섬웨어가 기업 네트워크를 장악한 공격 체인.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 1월 26일, Amazon의 위협 인텔리전스 허니팟 MadPot에 이상한 HTTP 요청이 도착했다.
Cisco 방화벽 관리 콘솔을 모방한 이 센서에 누군가 정교하게 조작된 Java 객체를 보내고 있었다. 요청이 성공하면 인증 없이 root 권한을 획득할 수 있는 공격이었다.
그런데 문제가 있었다. 이 취약점은 아직 세상에 알려지지 않은 제로데이였다.
. Cisco Secure Firewall Management Center(FMC)의 웹 관리 인터페이스에서 발견된 이 취약점은 CVSS 10.0점만점을 받았다.
원인은 Java 역직렬화(Deserialization)다. FMC는 웹 인터페이스로 들어오는 Java 바이트 스트림을 검증 없이 그대로 역직렬화했다. 공격자가 악성 Java 객체를 HTTP 요청에 담아 보내면, FMC의 JVM이 이를 그대로 실행한다. 인증도 필요 없고, 실행 권한은 root다.
기업 네트워크의 방화벽을 관리하는 시스템이 인증 없이 원격으로 뚫린다는 뜻이다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS | 10.0 (Critical) |
| 취약점 유형 | Java Insecure Deserialization (CWE-502) |
| 영향 제품 | Cisco Secure Firewall Management Center |
| 인증 필요 | 없음 (Unauthenticated) |
| 실행 권한 | root |
| 패치일 | 2026년 3월 4일 |
| 제로데이 기간 | 36일 |
이 제로데이를 악용한 그룹은 Interlock이었다. 2024년 9월부터 활동이 관측된 이 그룹은 다른 랜섬웨어 조직과 다른 점이 있다. RaaS(서비스형 랜섬웨어) 모델을 사용하지 않는다. 어필리에이트 없이 자체 개발, 자체 운영한다.
Interlock의 활동 패턴을 분석한 Amazon 위협 인텔리전스팀에 따르면, 이들의 근무 시간은 UTC+3 시간대와 일치한다. 오전 8시 30분에 활동을 시작하고, 오후 12시부터 6시 사이에 가장 활발하며, 자정 이후에는 거의 활동하지 않는다.
2024년부터 현재까지 확인된 피해는 81건 이상이다. 교육기관, 의료기관, 제조업, 공공기관이 주요 표적이다. 2025년 4월에는 미국 신장투석 의료기관 DaVita를 공격해 1.5TB의 환자 데이터를 유출했다.
Interlock의 Cisco FMC 공격은 6단계로 진행됐다.
Interlock 랜섬웨어 Cisco FMC 공격 체인 6단계
공격자는 FMC 웹 인터페이스의 특정 경로로 조작된 HTTP 요청을 전송했다. 요청 본문에는 악성 직렬화 Java 객체가 포함되어 있었고, 객체 안에는 두 개의 URL이 임베드되어 있었다. 하나는 설정 데이터를 전달받을 URL, 다른 하나는 익스플로잇 성공을 확인하는 PUT 요청 URL이었다.
FMC의 JVM은 이 객체를 검증 없이 실행했다.
Interlock은 전통적인 악성코드 파일을 디스크에 쓰지 않았다. 대신 Java class 파일을 JVM에 직접 로드하는 방식을 택했다.
로드된 class의 static initializer가 서버의 StandardContext에 ServletRequestListener를 등록했다. 이 리스너는 메모리에만 존재하면서 수신되는 HTTP 요청에서 AES-128로 암호화된 명령 페이로드를 추출하고 실행했다. 암호화 키는 하드코딩된 시드의 MD5 해시였다.
디스크에 파일이 없으니 기존 EDR 솔루션으로는 탐지가 어렵다.
침해된 Linux 서버에 Bash 스크립트를 배포해 HTTP 역방향 프록시로 구성했다. 공격자의 명령 트래픽은 정상 웹 트래픽에 섞여 흘렀다. 이 스크립트는 5분마다 로그 파일을 자동 삭제해 포렌식 흔적을 지웠다.
내부 Windows 시스템에 PowerShell 스크립트를 실행해 체계적으로 정보를 수집했다. 설치된 소프트웨어, 실행 중인 서비스, 브라우저 저장 데이터, 네트워크 연결 정보를 호스트별 디렉토리로 정리한 뒤, 중앙 네트워크 공유에 저장하고 ZIP으로 압축했다.
동시에 ScreenConnect(ConnectWise)를 설치해 백도어가 제거되더라도 원격 접근을 유지할 수 있는 보험을 마련했다.
수집된 데이터는 AZcopy (Microsoft Azure 스토리지 전송 도구) 를 통해 공격자가 통제하는 Azure blob 스토리지로 전송됐다. 합법적인 클라우드 서비스를 사용하기 때문에 네트워크 모니터링에서 비정상 트래픽으로 식별되기 어렵다.
Windows와 Linux 환경 모두를 대상으로 랜섬웨어를 배포했다. 암호화와 동시에 유출한 데이터를 공개하겠다고 협박하는 이중 갈취 전략을 사용했다. 협상은 TOR 기반 포털 "Worldwide Secrets Blog"에서 진행됐다.
Interlock은 치밀했지만 한 가지 실수를 저질렀다.
Amazon MadPot 허니팟이 FMC를 모방하고 있었고, 공격자는 이것을 실제 표적으로 착각해 악성 바이너리를 전달했다. 여기까지는 허니팟이 설계된 대로 작동한 것이다.
결정적이었던 것은 공격자 인프라 서버의 설정 오류였다. 서버가 제대로 잠겨 있지 않아 Amazon 연구원들이 전체 작전 툴킷에 접근할 수 있었다. RAT, 정찰 스크립트, 회피 기법, 암호화 페이로드가 표적별 디렉토리로 정리되어 노출되어 있었다.
공격자의 작전 보안(OPSEC) 실패가 방어자에게 전체 그림을 제공한 것이다.
이 공격을 탐지하려면 다음 징후를 모니터링해야 한다.
| 탐지 대상 | 확인 방법 |
|---|---|
| FMC 비정상 HTTP 요청 | 직렬화된 Java 페이로드 포함 여부 |
| 예상치 못한 아웃바운드 연결 | FMC에서 외부 IP로의 PUT 요청 |
| ScreenConnect 무단 설치 | 프로세스 및 서비스 목록 확인 |
| 5분 주기 로그 삭제 | cron job 및 로그 무결성 확인 |
| AZcopy 실행 흔적 | 비표준 경로에서의 AZcopy 프로세스 |
| PowerShell 대량 정찰 | 호스트별 디렉토리 생성 + ZIP 압축 패턴 |
Cisco는 3월 4일 패치를 출시했다. Workaround는 없다. 영향받는 FMC를 운영 중이라면 즉시 업그레이드해야 한다.
Amazon 위협 인텔리전스가 공개한 IOC다. Interlock은 표적마다 도구를 커스텀하기 때문에 파일 해시 대부분은 신뢰할 수 있는 지표가 아니다. 네트워크 기반 지표를 우선 활용한다.
| 지표 | 활동 시기 |
|---|---|
| 206.251.239[.]164 | 2026년 1월 |
| 199.217.98[.]153 | 2026년 3월 |
| 89.46.237[.]33 | 2026년 3월 |
| 지표 | 유형 |
|---|---|
| 144.172.94[.]59 | C2 Fallback IP |
| 199.217.99[.]121 | C2 Fallback IP |
| 188.245.41[.]78 | C2 Fallback IP |
| 144.172.110[.]106 | Backend C2 IP |
| 95.217.22[.]175 | Backend C2 IP |
| 37.27.244[.]222 | Staging Host IP |
| 도메인 | 용도 |
|---|---|
| cherryberry[.]click | 익스플로잇 지원 |
| ms-server-default[.]com | 익스플로잇 지원 |
| initialize-configs[.]com | 익스플로잇 지원 |
| ms-sql-auth[.]com | 익스플로잇 지원 |
| kolonialeru[.]com | 익스플로잇 지원 |
| browser-updater[.]com | C2 도메인 |
| browser-updater[.]live | C2 도메인 |
| os-update-server[.]com | C2 도메인 |
| os-update-server[.]org | C2 도메인 |
| os-update-server[.]live | C2 도메인 |
| os-update-server[.]top | C2 도메인 |
| 지표 | 유형 |
|---|---|
| b885946e72ad51dca6c70abc2f773506 | JA3 |
| f80d3d09f61892c5846c854dd84ac403 | JA3 |
| t13i1811h1_85036bcba153_b26ce05bbdd6 | JA4 |
| t13i4311h1_c7886603b240_b26ce05bbdd6 | JA4 |
| 해시 | 설명 |
|---|---|
| d1caa376cb45b6a1eb3a45c5633c5ef75f7466b8601ed72c8022a8b3f6c1f3be | Certify (공격 도구) |
| 6c8efbcef3af80a574cb2aa2224c145bb2e37c2f3d3f091571708288ceb22d5f | 스크린 락커 |
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko/20100101 Firefox/136.0
hxxp://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]onion/chat.php
이 사건은 보안 장비 자체가 침투 경로가 될 수 있다는 점을 다시 한번 보여준다.
Interlock은 방화벽을 관리하는 시스템을 공격해 전체 네트워크의 가시성과 통제권을 동시에 확보했다. 보안 장비를 신뢰하되, 보안 장비의 보안도 검증해야 한다. FMC 웹 인터페이스가 인터넷에 노출되어 있다면, 지금 당장 확인해야 한다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.