시스코(Cisco) 카탈리스트(Catalyst) SD-WAN 시스템에서 CVSS 10.0 최고 심각도 취약점이 발견됐다. 위협 행위자 ‘UAT-8616’은 이 취약점을 2023년부터 약 3년간 제로데이로 악용해왔으며, 펌웨어 다운그레이드 후 복원하는 정교한 수법으로 탐지를 회피했다.
시스코(Cisco)의 기업용 네트워크 핵심 인프라인 카탈리스트(Catalyst) SD-WAN 시스템에서 역대 최고 심각도의 보안 취약점이 확인됐다. CVE-2026-20127로 명명된 이 취약점은 공통 취약점 등급 시스템(CVSS) 점수 10.0을 받았다. CVSS 10.0은 취약점 심각도 척도의 최댓값으로, 원격의 인증되지 않은 공격자가 관리자 권한을 획득할 수 있는 치명적 결함이다. 시스코 탈로스(Talos) 위협 인텔리전스 팀은 이 취약점이 2023년부터 실제 공격에 악용돼왔다고 밝혔다. 약 3년간 패치 없이 노출된 제로데이 취약점이 기업과 공공기관의 네트워크를 위협해온 것이다.
‘UAT-8616’, 3년간 은밀히 활동한 고도 위협 행위자
시스코 탈로스가 추적 중인 위협 행위자 ‘UAT-8616’은 ‘고도로 정교한 위협 행위자(highly sophisticated threat actor)’로 분류된다. 이 공격 그룹의 기술적 역량은 국가 지원 해킹 조직 수준에 달한다는 것이 보안 전문가들의 평가이다. UAT-8616의 공격 체인은 4단계로 구성된다. 첫째, CVE-2026-20127을 통해 SD-WAN 시스템의 피어링 인증 메커니즘을 우회하고 초기 접근 권한을 획득한다. 둘째, 획득한 관리자 권한으로 SD-WAN 소프트웨어를 이전 버전으로 다운그레이드한다.
셋째, 다운그레이드된 소프트웨어에 존재하는 2022년 취약점 CVE-2022-20775를 악용해 루트(root) 권한을 획득한다. 넷째, 공격 목적을 달성한 뒤 소프트웨어를 원래 버전으로 복원해 침입 흔적을 지운다. 이 마지막 단계가 UAT-8616을 특히 위험한 존재로 만든다. 펌웨어를 원래 상태로 되돌리면 일반적인 보안 모니터링 도구로는 침입 사실 자체를 탐지하기 어렵기 때문이다. 3년간 발각되지 않은 것도 이 정교한 탐지 회피 기법 덕분이다.
취약점의 기술적 원인과 영향 범위
시스코는 공식 보안 권고문에서 “이 취약점은 영향을 받는 시스템의 피어링 인증 메커니즘이 제대로 작동하지 않기 때문에 존재한다”고 설명했다. 피어링 인증은 SD-WAN 컨트롤러 간 통신의 신뢰성을 보장하는 핵심 보안 계층이다. 이 메커니즘이 무력화되면 외부 공격자가 인증 절차 없이 시스템에 접근할 수 있다. 영향을 받는 제품은 시스코 카탈리스트 SD-WAN 컨트롤러(구 vSmart)와 SD-WAN 매니저(구 vManage)이다. 두 제품 모두 기업 네트워크의 중앙 관리 시스템으로, 지사 간 통신, 클라우드 접속, 보안 정책 적용을 총괄하는 핵심 인프라이다. 이 시스템이 침해되면 기업 전체 네트워크 트래픽의 감청, 조작, 차단이 가능하다. 특히 우회 방법(workaround)이 전혀 존재하지 않아 패치 적용만이 유일한 해결책이라는 점이 상황의 심각성을 더한다.
| 항목 | 내용 |
|---|---|
| CVE 번호 | CVE-2026-20127 |
| CVSS 점수 | 10.0 (최고 심각도) |
| 악용 기간 | 2023년~현재 (약 3년) |
| 위협 행위자 | UAT-8616 (고도 정교) |
| 영향 제품 | 카탈리스트 SD-WAN 컨트롤러, SD-WAN 매니저 |
| 우회 방법 | 없음 (패치만 유일한 해결책) |
| CISA 긴급 지시 | ED 26-03 |
| 패치 기한 | 2026년 2월 27일 오후 5시 (미 동부시간) |
| 연관 CVE | CVE-2022-20775 (루트 권한 상승) |
| KEV 등재 | 2개 CVE 동시 등재 |
미국 CISA 긴급 지시, 24시간 내 패치 의무화
미국 사이버보안 및 인프라보안국(CISA)은 긴급 지시(Emergency Directive) ED 26-03을 발령했다. CISA 긴급 지시는 연방 민간 행정부(FCEB) 기관에 대해 법적 구속력을 갖는 명령으로, 발령 빈도가 연간 2~3건에 불과할 정도로 극히 이례적인 조치이다. ED 26-03은 모든 연방 기관에 2월 27일 오후 5시(미 동부시간)까지 해당 취약점을 패치하도록 의무화했다. 발령 시점부터 약 24시간이라는 극도로 짧은 기한을 부여한 것은 위협의 심각성을 반영한다. CISA는 동시에 알려진 악용 취약점(KEV) 카탈로그에 CVE-2026-20127과 CVE-2022-20775를 동시 등재했다. KEV 카탈로그 등재는 해당 취약점이 이론적 위협이 아닌 실제 공격에 사용되고 있음을 공식 확인하는 것이다. 영국 국가사이버보안센터(NCSC)와 호주 신호국(ASD)도 합동 대응 가이드를 발행해 자국 기관과 기업에 즉시 패치를 권고했다. 3개국이 동시에 대응에 나선 것은 이 취약점의 파급력이 글로벌 차원임을 보여준다.
공격 체인의 교훈, 구형 취약점도 무기가 된다
이번 사건에서 주목할 점은 공격자가 신규 취약점과 구형 취약점을 조합해 공격 효과를 극대화했다는 것이다. CVE-2022-20775는 2022년에 이미 패치가 배포된 취약점이다. 그러나 UAT-8616은 시스템 소프트웨어를 강제로 다운그레이드함으로써 이미 패치된 구형 취약점을 다시 악용 가능한 상태로 되돌렸다. 이는 보안 업계에서 ‘다운그레이드 공격(downgrade attack)’으로 불리는 기법이다. 단순히 최신 패치를 적용하는 것만으로는 이런 유형의 공격을 방어하기 어렵다. 소프트웨어 버전 변경 자체를 감지하고 차단하는 무결성 검증 메커니즘이 필요하다. 래피드7(Rapid7)의 분석에 따르면, SD-WAN 시스템은 기업 네트워크의 허브 역할을 하기 때문에 한 번 침해되면 연결된 모든 지사와 클라우드 환경까지 위험에 노출된다. 대규모 기업의 경우 수백 개 지점의 네트워크가 동시에 위협받을 수 있다.
한국 기업과 공공기관에 미치는 영향
한국에 대한 시사점은 각별하다. 시스코는 한국 기업용 네트워크 장비 시장에서 높은 점유율을 유지하고 있으며, SD-WAN 솔루션은 국내 대기업, 금융기관, 공공기관에 광범위하게 도입돼 있다. 특히 KT, SK텔레콤(SKT), LG유플러스(LGU+) 등 국내 주요 통신사는 기업 고객에게 시스코 기반 매니지드 SD-WAN 서비스를 제공하고 있어, 취약점의 영향이 통신사 고객 전체로 확산될 가능성이 있다. 한국인터넷진흥원(KISA)의 긴급 보안 권고 발령이 예상된다. KISA는 과거 주요 네트워크 장비 취약점 발견 시 ‘보안 공지’를 통해 국내 기관에 패치를 권고해왔다. 이번 취약점은 CVSS 10.0이라는 최고 심각도와 3년간의 제로데이 악용이라는 특수성을 고려할 때, 긴급 등급의 보안 권고가 발령될 것으로 보인다. 국가사이버안보센터 역시 정부 기관과 주요 기반 시설에 대한 긴급 점검에 나설 것으로 예상된다. 한국은 2023년부터 ‘사이버보안 기본법’ 제정을 추진하고 있으며, 이번 사건은 네트워크 인프라 보안에 대한 법적 규제 강화 논의에 힘을 실어줄 수 있다. 기업 보안 담당자는 시스코 SD-WAN 사용 여부를 즉시 확인하고, 해당 제품을 운용 중이라면 시스코의 보안 업데이트를 최우선으로 적용해야 한다.
패치만이 답이다, 긴급 대응이 필요한 시점
이번 CVE-2026-20127 취약점은 네트워크 보안의 근본적 전제를 뒤흔드는 사건이다. CVSS 10.0이라는 최고 심각도, 3년간의 제로데이 악용, 펌웨어 다운그레이드를 통한 탐지 회피, 우회 방법의 부재까지 4가지 요소가 결합돼 역대 가장 위험한 네트워크 장비 취약점 중 하나로 기록될 전망이다. 시스코 탈로스가 UAT-8616을 ‘고도로 정교한 위협 행위자’로 분류한 것은 국가 지원 해킹의 가능성을 시사한다. CISA, 영국 국가사이버보안센터(NCSC), 호주 신호국(ASD)이 동시에 대응에 나선 것도 이 위협이 특정 국가를 넘어 글로벌 인프라 전체에 대한 공격임을 방증한다. 시스코 SD-WAN을 운용하는 모든 기관은 즉시 패치를 적용해야 한다. 패치가 유일한 해결책이며, 지체는 곧 위험이다.
© 2026 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
