시트릭스 ‘넷스케일러 ADC 및 게이트웨이’ 장비 보안 취약점 주의보

[아이티데일리] 최근 시트릭스(Citrix) ‘넷스케일러(NetScaler)’ 장비에 대한 신규 보안 취약점이 발견돼 소프트웨어 업데이트 적용 및 후속 조치가 필요하다. CVE-2025-5777으로 번호가 매겨진 이 취약점은 일명 ‘시트릭스블리드2(CitrixBleed 2)’ 라는 이름으로 불리고 있다.

최근 영국 맨체스터를 기반으로 활동하는 독립 보안 전문가인 케빈 보몽(Kevin Beaumont)은 ‘시트릭스블리드2’라 명명한 취약점에 대해 경고했다. 해당 취약점은 장치 메모리에 있는 세션 토큰(session token)을 외부에서 탈취할 수 있도록 한다. 세션 토큰은 로그인 상태를 유지해 주는 역할을 하는데, 이를 탈취하면 공격자들이 비밀번호나 다중 인증(MFA) 없이도 시스템에 몰래 접근할 수 있다.

시트릭스블리드2의 위험도는 10점 만점에 9.3점(CVSS v4.0)으로 매우 높다. 이름대로 2023년에 나타난 첫 번째 ‘시트릭스블리드(CVE-2023-4966)’와 유사한 방식이지만 이번에는 훔칠 수 있는 정보, 즉 세션 토큰의 치명도가 더욱 높다.

우려 수준이긴 하지만 실제 공격 징후도 포착됐다. 보안 업체 릴리아퀘스트(ReliaQuest)는 “아직 공격 사례가 보고되지는 않았지만, 여러 IP 주소에서 탈취한 토큰을 재사용하는 시도가 포착됐다”고 자체 분석한 내용을 공개했다. 해당 내용은 ‘중간 수준의 확신(medium confidence)’ 이라는 표현 아래 발표됐다.

시트릭스는 6월 17일 공개된 CVE-2025-5777 취약점에 대해 열흘 만인 27일에 패치 및 대응책을 내놨다. 넷스케일러 ADC 및 게이트웨이 14.1-43.56 이상, 또는 13.1-58.32 이상 버전으로 반드시 업데이트하라는 내용이다. 특히 12.1이나 13.0 등 지원이 끝난 버전은 더 이상 패치가 제공되지 않으니 주의해야 한다.

다만 업데이트만으로 완전히 안심할 수는 없다. 보안 패치가 적용되더라도 이미 탈취된 토큰은 유효 기간이 만료되거나 세션 종료 명령을 통해 강제 삭제될 때까지 계속 사용할 수 있기 때문이다. 이에 시트릭스는 업데이트 이후 ‘kill icaconnection -all’과 ‘kill pcoipConnection -all’ 명령으로 모든 기존 세션을 강제로 끊고 새로운 토큰을 발급받아야 한다고 설명했다.

한 국내 보안관제 업체 연구소장은 “시트릭스블리드2는 단순 정보 유출이 아니라, 한 번 침투하면 오래도록 남아 은밀히 활동할 수 있는 지속 침투 위협”이라면서 “넷스케일러 장비를 사용하는 기업의 담당자는 즉시 버전을 점검하고, 패치 적용과 세션 초기화를 통해 추가 피해를 막아야 한다”고 강조했다.