루트 권한 탈취 가능한 치명적 취약점
CVSS 10.0, 즉각 대응 요구

[메타X(MetaX)] Cisco가 자사 이메일 보안 장비를 겨냥한 실제 사이버공격 캠페인이 진행 중임을 공식 확인했다. 이번 공격은 특정 설정 조건을 만족한 장비에서 운영체제 루트(root) 권한으로 원격 명령 실행이 가능한 것으로 나타났으며, 기업 메일 보안 인프라 전반에 중대한 위협이 될 수 있다는 평가가 나온다.

시스코는 2025년 12월 Cisco Secure Email Gateway와 Cisco Secure Email and Web Manager를 대상으로 한 새로운 공격 정황을 인지했다고 밝혔다. 공격은 Cisco AsyncOS Software를 실행 중인 장비 가운데, 특정 포트가 인터넷에 직접 노출된 환경에서 발생했다.

특히 공격자는 스팸 격리(Spam Quarantine) 기능이 활성화돼 있고, 해당 기능이 외부에서 접근 가능하도록 설정된 장비를 집중적으로 노렸다. 이 기능은 기본값으로 활성화돼 있지 않으며, 시스코의 공식 배포 가이드에서도 인터넷 직접 노출을 요구하지 않는 설정이다. 그럼에도 불구하고 일부 운영 환경에서의 잘못된 구성(configuration)이 공격의 진입점으로 작용했다는 설명이다.

시스코에 따르면 이번 공격을 통해 위협 행위자는 인증 없이 임의 명령을 루트 권한으로 실행할 수 있었으며, 일부 침해된 장비에서는 장기적인 통제를 위한 은닉 채널, 즉 지속성(persistence) 메커니즘이 설치된 흔적도 확인됐다. 해당 취약점은 CVE-2025-20393으로 식별됐으며, 입력값 검증 부재(CWE-20)와 관련된다. 시스코가 산정한 CVSS 3.1 기준 점수는 10.0점으로, 네트워크를 통한 원격 공격이 가능하고 기밀성·무결성·가용성에 모두 치명적인 영향을 미칠 수 있는 최고 위험 등급이다.

이번 공격 활동은 시스코의 위협 인텔리전스 조직인 Cisco Talos에 의해서도 별도로 분석·공유됐다. 시스코는 이를 단순한 잠재적 취약점이 아니라, 실제 고객 환경에서 침해가 확인된 사례라고 명확히 선을 그었다.

영향을 받는 대상은 물리·가상 형태의 Cisco Secure Email Gateway와 Cisco Secure Email and Web Manager로, 스팸 격리 기능이 활성화돼 있고 해당 기능이 인터넷에서 접근 가능한 경우다. AsyncOS 버전과 무관하게 동일 조건을 만족하면 영향을 받을 수 있다. 반면 Cisco Secure Email Cloud와 Cisco Secure Web 제품군은 현재까지 이번 공격의 영향을 받지 않는 것으로 확인됐다.

시스코는 이번 사안에 대해 즉각적인 우회책이나 임시 조치는 존재하지 않는다고 밝혔다. 이미 침해가 발생했거나 의심되는 경우, 단순 설정 변경만으로는 충분하지 않을 수 있으며, 현재로서는 장비 재구축(rebuild)이 유일한 완전 제거 방법이라는 점을 강조했다. 아울러 관리·메일 네트워크 인터페이스 분리, 방화벽 뒤 배치와 접근 IP 제한, 불필요 서비스 비활성화, 인증 체계 강화, AsyncOS 최신 버전 유지, 로그의 외부 저장 및 이상 트래픽 상시 모니터링 등을 권고했다.

이번 경고의 의미는 단순한 취약점 공지를 넘어선다. 시스코 PSIRT는 실제 기술지원(TAC) 과정에서 발견된 침해 사례를 기반으로 한 경고라는 점에서, 조건만 맞으면 누구든 공격 대상이 될 수 있다고 밝혔다. 기업 메일 보안 장비가 내부 커뮤니케이션의 관문이자 추가 공격의 발판이 될 수 있다는 점을 감안할 때, 이번 사안은 보안 장비 자체도 충분히 공격 대상이 될 수 있음을 다시 한 번 보여주는 사례로 평가된다.

[ⓒ META-X. 무단전재-재배포 금지]