2025년 엣지 장비 CVE가 역대 최다를 기록했다. VPN과 방화벽이 해커의 1순위 표적이 된 구조적 이유와 한국 사례.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년, 엣지 장비(VPN, 방화벽, 이메일 게이트웨이) 대상 익스플로잇이 전년 대비 8배 증가했다. Verizon DBIR 기준이다.
더 놀라운 숫자가 있다. CVE 공개부터 대규모 악용까지 중간값이 0일이다. 패치가 나오기도 전에 공격이 시작된다는 뜻이다. 반면 조직의 평균 패치 소요 시간은 209일이다.
이 209일의 간극이 T1190이 초기 접근 벡터 1위(Mandiant 기준 33%)인 이유다.
공격자 입장에서 생각해보자. 기업 네트워크에 침투할 방법은 여러 가지다. 직원에게 피싱 메일을 보내거나(T1566), 유출된 자격증명을 사용하거나(T1078), 인터넷에 노출된 서비스를 직접 공격할 수 있다(T1190).
피싱은 직원이 링크를 클릭해야 한다. 유효 계정은 먼저 자격증명을 탈취해야 한다. 하지만 T1190은 피해자의 행동을 기다리지 않는다. 공격자가 능동적으로 Shodan이나 Censys로 취약한 장비를 검색하고, PoC 코드를 실행하면 끝이다.
엣지 장비가 특히 위험한 이유는 세 가지다.
| 이유 | 설명 |
|---|---|
| 네트워크의 관문 | VPN 하나가 뚫리면 내부 전체에 접근 가능 |
| 항상 인터넷에 노출 | 방화벽, VPN은 인터넷 연결이 기본 — 숨길 수 없음 |
| 높은 권한 | root/admin으로 실행, 침투 즉시 최고 권한 획득 |
Interlock이 Cisco FMC를 뚫고 전체 네트워크를 장악한 것, Salt Typhoon이 Cisco IOS XE()와 Palo Alto PAN-OS() 등 6개 이상의 엣지 장비 CVE를 악용해 통신사 라우터에 GRE 터널을 설치하고, TACACS+ 트래픽을 가로채 관리자 자격증명을 탈취한 뒤 80개국 600개 조직에 침투한 것 — 모두 엣지 장비 하나가 전체 네트워크의 열쇠가 된 사례다.
T1190 엣지 장비 익스플로잇 공격 흐름
최근 2년간 보안 장비 자체가 뚫린 주요 사례를 보면 패턴이 보인다.
| CVE | 제품 | CVSS |
|---|---|---|
| Cisco FMC | 10.0 | |
| Fortinet FortiGate | 높음 | |
| Ivanti EPMM | 높음 | |
| Palo Alto PAN-OS | 10.0 | |
| Cisco IOS XE | 10.0 |
전부 CVSS 고위험이고, 전부 인증 없이 원격 실행이 가능했다. 보안을 담당하는 장비가 오히려 침투 경로가 되는 아이러니다.
이 CVE들의 공통점이 있다. 대부분 장비의 관리 인터페이스(Management Interface)에서 발견됐다. Cisco FMC의 웹 관리 콘솔, Fortinet의 관리 포트, Ivanti의 관리 API.
관리 인터페이스는 장비 설정을 변경하고, 정책을 배포하고, 로그를 확인하는 곳이다. 여기를 장악하면 방화벽 룰을 변경해 백도어 트래픽을 허용하거나, 로그를 삭제해 침투 흔적을 지울 수 있다. Interlock이 정확히 이 방법을 썼다 — FMC 관리 콘솔을 통해 root를 획득한 뒤, 5분마다 로그를 삭제했다.
북한 Lazarus 그룹은 한국 소프트웨어, IT, 금융, 반도체, 통신 분야 6개 이상 기관을 침해했다.
주목할 점은 글로벌 제품이 아닌 한국에서만 쓰이는 소프트웨어를 공격했다는 것이다. Innorix Agent와 Cross EX — 한국 전자정부와 금융권에서 광범위하게 사용되지만, 국제 보안 커뮤니티에서는 취약점 분석이 거의 되지 않는 제품이다.
Kaspersky 분석에 따르면, Lazarus는 워터링 홀 공격으로 한국 미디어 사이트 방문자를 감염시킨 뒤, Innorix Agent 취약점으로 내부 네트워크에 측면 이동했다.
북한 Kimsuky(Larva-24005)는 (BlueKeep) (7년 전에 패치된 RDP 취약점) 을 악용해 한국과 일본의 소프트웨어, 에너지, 금융 기관을 공격했다.
왜 7년 된 취약점이 아직 작동하는가. 세 가지 이유가 있다.
| 원인 | 설명 |
|---|---|
| 레거시 시스템 | 업데이트하면 업무 시스템이 깨질 수 있어 패치를 미룸 |
| 자산 파악 부재 | 인터넷에 노출된 RDP 서버의 존재 자체를 모름 |
| 우선순위 밀림 | 최신 CVE에 집중하느라 구형 취약점 패치가 후순위 |
공격자는 최신 제로데이만 쓰지 않는다. 아직 패치 안 된 구형 취약점도 동일한 효과를 발휘한다. CISA KEV 카탈로그에는 2017년 이전 CVE도 다수 등재되어 있다.
공격자의 무기화 속도 5일 vs 방어자의 패치 속도 209일. 이 간극을 줄이는 것이 핵심이다.
| 조치 | 내용 |
|---|---|
| CISA KEV 기반 패칭 | 실제 악용 중인 취약점 우선 — 2025년 말 1,484개 등재 |
| 엣지 장비 패치 SLA | 일반 서버 30일 → 엣지 장비 72시간 이내 |
| 관리 인터페이스 격리 | 인터넷 직접 노출 금지 → VPN 또는 점프서버 경유 |
| 외부 시각 점검 | Shodan/Censys로 자사 노출 자산 주기적 확인 |
패치만으로는 제로데이를 막을 수 없다. 패치가 나오기 전 36일 동안 Interlock이 Cisco FMC를 악용한 것처럼.
방어의 깊이(Defense in Depth)가 필요하다.
| 계층 | 방어 수단 |
|---|---|
| 1. 노출 최소화 | 관리 인터페이스 인터넷 차단, 불필요한 서비스 비활성화 |
| 2. 탐지 | WAF, 애플리케이션 로그 비정상 패턴 모니터링 |
| 3. 격리 | DMZ 네트워크 분할, 마이크로세그멘테이션 |
| 4. 최소 권한 | 서비스 계정 권한 제한, 아웃바운드 트래픽 필터링 |
어떤 단일 방어선이 뚫려도 다음 계층이 버틸 수 있어야 한다. 엣지 장비는 반드시 뚫린다고 가정하고 설계해야 한다.
엣지 장비가 침해됐을 때 나타나는 신호가 있다.
| 탐지 대상 | 방법 |
|---|---|
| 비정상 아웃바운드 연결 | 엣지 장비에서 외부 IP로의 HTTP PUT/POST — 정상 트래픽과 방향이 반대 |
| 관리 인터페이스 접근 로그 | 비업무 시간대 로그인, 알 수 없는 소스 IP |
| 설정 변경 감사 | 방화벽 룰 변경, 새 관리자 계정 생성 |
| 로그 무결성 | 로그 삭제/변조 흔적 — Interlock은 5분마다 로그를 삭제했다 |
| 프로세스 이상 | ScreenConnect 등 원격 접속 도구 무단 설치 |
T1190 방어 4계층 구조
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.