보안 인프라의 신뢰 균열
[메타X(MetaX)] Cisco가 자사 이메일 보안 장비를 겨냥한 실제 진행 중인 사이버공격 캠페인을 공식 확인했다. 이번 사안은 단순한 취약점 가능성 공지가 아니라, 일부 고객 환경에서 운영체제 루트(root) 권한 탈취와 공격 지속성(backdoor) 설치가 확인된 실제 침해 사례라는 점에서 파장이 크다.
이번 사건은 기업 내부 커뮤니케이션의 관문 역할을 해온 이메일 보안 장비 자체가 공격자의 발판으로 전환될 수 있음을 보여준다. 보안을 담당하는 핵심 인프라에 대한 신뢰 구조를 근본적으로 재점검해야 한다는 경고로 해석된다.
시스코는 2025년 12월 10일, Cisco Secure Email Gateway와 Cisco Secure Email and Web Manager를 대상으로 한 이상 행위를 인지했다고 밝혔다. 이후 조사 과정에서 일부 고객 장비가 이미 공격자에 의해 실질적으로 침해된 상태였음이 확인됐다. 시스코 PSIRT와 위협 인텔리전스 조직인 Cisco Talos는 고객 기술지원(TAC) 과정에서 실제 침입 흔적과 공격 지속 메커니즘을 확인했다고 설명했다. 이는 이론적 위험이 아니라 현재 진행형 위협임을 의미한다.
공격의 핵심 진입점은 스팸 격리(Spam Quarantine) 기능이었다. 이 기능은 관리 편의를 위해 제공되지만, 시스코의 공식 가이드에서도 인터넷에 직접 노출할 것을 권장하지 않는 구성이다. 문제는 AsyncOS를 실행 중인 이메일 보안 장비에서 스팸 격리 기능이 활성화돼 있고, 해당 기능 접근 포트가 인터넷에 직접 노출되며, 접근 제어 없이 외부 요청을 수용하는 환경이었다.
이 조건이 충족될 경우 공격자는 입력값 검증 부재를 악용해 인증 없이 원격 명령을 실행할 수 있었고, 그 결과 운영체제 루트 권한 획득까지 이어졌다. 보안 장비가 더 이상 방어 장치가 아니라, 권한 상승이 완료된 내부 거점으로 전환될 수 있음을 보여주는 사례다.
해당 취약점은 CVE-2025-20393으로 식별됐으며, 시스코는 CVSS 3.1 기준 10.0점이라는 최고 위험 등급을 부여했다. 이는 네트워크를 통한 원격 공격이 가능하고, 인증이나 사용자 개입 없이 기밀성·무결성·가용성에 모두 치명적인 영향을 미칠 수 있음을 의미한다. CVSS 10.0 자체도 드문 평가지만, 이번 사례가 더 심각한 이유는 실제 공격이 이미 발생했고 일부 장비에 지속성 메커니즘이 남아 있었다는 점이다.
시스코는 이례적으로 강한 표현을 사용해 즉각적인 우회책(workaround)은 존재하지 않는다고 밝혔다. 침해가 의심되거나 확인된 경우, 단순 설정 변경이나 서비스 비활성화만으로는 충분하지 않으며, 현재로서는 장비 재구축(rebuild)이 유일한 완전 제거 방법이라는 점을 명확히 했다. 이는 침해 여부를 확신할 수 없다면 내부 신뢰 경계가 이미 무너졌을 가능성과, 이메일 보안 장비를 통한 추가 확산 가능성까지 염두에 둬야 한다는 의미다.
이번 사안에서 주목할 점은 문제의 기능이 기본값으로는 비활성화돼 있었다는 사실이다. 모든 고객이 자동으로 위험에 노출된 것은 아니지만, 운영 편의나 외부 연동, 임시 테스트 등의 이유로 보안 장비 설정이 점진적으로 완화되는 현실을 고려하면 “보안 장비이기 때문에 안전하다”는 인식 자체가 위험한 신뢰로 작용할 수 있음을 드러낸다.
이번 시스코 사례는 단일 벤더의 취약점 문제를 넘어 기업 보안 전략 전반에 대한 경고다. 보안 장비도 침해될 수 있고, 관리 편의 기능은 공격면이 될 수 있으며, 기본값이 안전하다는 믿음은 언제든 깨질 수 있다. 침해 이후에는 정상적인 복구조차 불가능할 수 있다는 점을 이번 사례는 분명히 보여준다.
이메일은 여전히 기업 공격의 출발점이다. 그리고 이제 그 관문을 지키는 장비 자체가 공격당하고 있다. 이번 경고를 단순한 패치 공지로 받아들인다면, 다음 피해자는 조건이 맞았을 뿐인 또 다른 조직이 될 수 있다.
[저작권자ⓒ META-X. 무단전재-재배포 금지]
