시스코 SD-WAN CVE-2026-20127 인증 우회 취약점 악용 공격 확산
국가 기반시설 표적화 및 네트워크 엣지 장비 보안 위협 고조

[보안뉴스 김형근 기자] 영국 국가사이버보안센터(NCSC)와 미국 사이버보안및인프라보안국(CISA) 등 서구권 정보당국이 시스코 카탈리스트(Catalyst) SD-WAN 제품군에서 심각한 취약점이 확인됐다며 이용자들에 즉각적 보안 업데이트를 권고했다.


경고의 배경엔 ‘UAT-8616’으로 명명된 정체불명 위협 조직의 공격 활동이 있다. 이 조직은 시스코 장비의 취약점을 악용해 광범위한 침투를 시도한 것으로 파악됐다.

공격자는 우선 악성 피어(Rogue Peer)를 추가한 뒤, 루트 권한을 확보해 네트워크에 잠복했다. 인증 우회 결함인 CVE-2026-20127 취약점을 악용했다. 공격자가 조작된 요청을 통해 인증 절차를 우회할 수 있는 치명적 보안 문제다.

이를 통해 공격자는 고위 권한 계정으로 로그인한 후 NETCONF에 접근해 SD-WAN 전체 설정을 변경할 수 있었던 것으로 분석됐다. 특히 관리 인터페이스가 외부 인터넷에 노출된 환경에서는 침해 위험이 더욱 높다.

시스코 보안 조직 탈로스(Talos)에 따르면 이 캠페인은 2023년부터 이어진 장기 작전으로 추정된다. 공격자들은 소프트웨어 버전을 의도적으로 낮춰 과거 취약점(CVE-2022-20775)을 재활용하는 방식도 병행했다.

UAT-8616은 국가 주요 기반시설 운영 기관 등 고가치 표적을 집중적으로 노린 정황이 확인돼 국가 지원을 받는 조직일 가능성도 제기된다. CISA는 연방 기관을 대상으로 긴급 지침을 발령하고 지정 기한 내 패치 적용을 요구했다.

현재 시스코가 배포한 최신 보안 업데이트를 적용하는 것이 유일한 대응책이다. 전문가들은 네트워크 에지 장비를 거점으로 삼는 공격이 지속되고 있다며, 패치 적용과 함께 침해 여부에 대한 정밀 점검이 필요하다고 강조했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>