시스코 IOS XR 취약점 3개 발견해 패치…업데이트 반드시 적용해야

[아이티데일리] 시스코가 자사 네트워크 장비 운영체제(OS)인 ‘IOS XR’에 대한 소프트웨어 보안 권고를 지난 10일 발표했다. 권고에는 3가지 중요 취약점에 대한 내용이 포함돼 네트워크 관리자들은 최신 패치를 반드시 적용해야 한다.

이번에 공개된 취약점들은 CVE-2025-20248, CVE-2025-20340, CVE-2025-20159 등이다. 각각 △이미지 서명 검증 우회 △ARP(주소 확인 프로토콜) 기반 서비스 거부(DoS) 공격 △관리 인터페이스 ACL(접근제어목록) 우회 취약점 등으로, 대규모 통신사와 금융기관의 핵심 라우팅 장비에 직접적인 위협을 가할 수 있는 것으로 분석됐다.

시스코는 이번 취약점들이 현재까지 실제 공격에 악용된 사례는 없다고 밝혔지만, IOS XR을 사용하는 8000 시리즈 라우터, ASR 9000 시리즈, NCS 5000/5500/5700 시리즈 등 광범위한 제품군이 영향을 받는다고 발표했다.

이미지 서명 검증 우회로 백도어 설치 경로 확보

가장 우려되는 CVE-2025-20248 취약점은 CVSS 점수 6.0으로 평가되지만, 시스코가 위험도를 ‘높음(High)’으로 재분류하며 보안 업계의 주목을 받고 있다. 이 취약점은 IOS XR 소프트웨어 설치 과정에서 이미지 서명 검증을 우회할 수 있는 문제로, 인증받지 않은 로컬 공격자가 루트 권한을 확보한 상태에서 서명되지 않은 파일을 ISO 이미지에 포함시켜 설치할 수 있다.

보안 업계 관계자는 “이 취약점은 시스코 장비의 신뢰 체계를 근본적으로 흔드는 문제”라며 “공격자가 백도어를 심거나 악성 코드를 영구적으로 설치할 수 있는 경로를 제공한다”고 경고했다. 특히 소프트웨어 공급망 공격이나 내부자 위협 시나리오에서 치명적인 결과를 초래할 수 있다는 분석이다.

ARP 트래픽 폭탄으로 네트워크 전체 마비 가능

CVE-2025-20340은 CVSS 7.4점으로 평가된 고위험 취약점으로, ARP 프로토콜 구현 상의 결함을 악용한 서비스 거부 공격을 가능하게 한다. 인증받지 않은 인접 네트워크 공격자가 관리 인터페이스에 지속적으로 대량의 ARP 트래픽을 전송하면 브로드캐스트 스톰이 발생하고, 장비의 성능 저하와 관리 연결 손실, 완전한 시스템 무응답 상태에 이를 수 있다.

네트워크 보안 전문가는 “ARP 기반 DoS 공격은 비교적 단순하지만 피해 규모가 막대할 수 있다”며 “통신사나 대규모 데이터센터 환경에서는 단일 장비의 장애가 전체 네트워크 서비스에 연쇄적인 영향을 미칠 수 있다”고 설명했다.

관리 인터페이스 ACL 무력화로 보안 통제 우회

CVE-2025-20159는 CVSS 5.3점의 중간 위험도로 평가됐지만, 원격 공격이 가능하다는 점에서 주의가 요구된다. 이 취약점은 IOS XR 소프트웨어의 관리 인터페이스 ACL 처리 기능에서 SSH, 넷컨프(NetConf), gRPC 프로토콜에 대한 접근 제어 목록이 제대로 적용되지 않는 문제다.

시스코는 이 문제가 패킷 입출력(Packet I/O) 인프라 플랫폼에서 리눅스가 처리하는 기능들에 대해 관리 인터페이스 ACL이 지원되지 않기 때문이라고 설명했다. 이에 인증받지 않은 원격 공격자가 영향받는 장비로 트래픽을 전송해 관리 인터페이스에 적용된 ACL을 우회할 수 있다.

광범위한 제품군에 영향…반드시 패치 적용해야

이번 취약점들은 IOS XR 버전 6.5.x부터 25.x까지 광범위한 버전에 영향을 미친다. 특히 8000 시리즈 라우터 전체 버전, ASR 9000 시리즈의 24.1.1 이전 버전, NCS 540/560/1010/1014/5500/5700 시리즈 등 시스코의 주요 엔터프라이즈 및 서비스 프로바이더 제품군이 모두 포함된다.

네트워크 관리자들은 제공된 웹링크를 검토하고, 제안된 완화 조치를 수행하며, 가능한 업데이트를 적용해야 한다. 특히 RADIUS(원격 인증 다이얼 인 사용자 서비스) 인증이 활성화된 환경에서는 추가적인 주의가 필요하다.

국내 한 보안 전문가는 “네트워크 보안은 단일 계층이 아닌 다중 방어 체계로 구성돼야 하며, 특히 이번 취약점에 비춰봤을 때 관리 인터페이스에 대한 네트워크 세분화와 트래픽 모니터링을 강화할 필요가 있다”고 조언했다.

시스코 측은 이번 취약점과 관련해 패치가 제공되는 대로 즉시 적용할 것을 권고한다. 임시 완화 방안으로는 관리 인터페이스 접근 제한과 ARP 트래픽 레이트 제한을 제시하고 있다.