시스코 ASA 대상 대규모 제로데이 공격 경보…美 CISA 긴급지침 발령

[아이티데일리] 미국 사이버보안 및 인프라 보안국(CISA)이 시스코(Cisco)의 적응형 보안 어플라이언스(Adaptive Security Appliance; ASA)를 대상으로 한 대규모 제로데이 공격에 대응해 25일(현지시각) 연방기관들을 대상으로 ‘긴급지침(ED) 25-03’을 발령했다.

CISA의 마두 고투무칼라(Madhu Gottumukkala) 청장대행은 “공격자가 해당 취약점을 매우 쉽게 악용해 기기에 지속적으로 침투할 수 있고, 피해자의 네트워크에 접근할 수 있다는 심각한 위험 때문에 연방 기관들에게 즉각적인 조치를 취할 것을 지시했다”고 밝혔다.

시스코에 따르면 이번 공격은 지난 2024년 초 있었던 아케인도어(ArcaneDoor) 캠페인과 연관된 것으로 보인다. 이번 공격 캠페인은 광범위하고, 인증 없이 원격 코드 실행을 허용하는 취약점을 악용한다는 점에서 특히 위험한 것으로 평가된다. ROM(읽기전용메모리)을 변조해 재부팅이나 시스템 업그레이드 이후에도 지속성을 유지하는 방식으로 수행되는데, 공격자는 적어도 2024년부터 시스코 ASA의 ROM을 수정할 수 있는 역량을 보유해왔던 것으로 추정된다.

이번 공격에서 악용된 주요 취약점은 CVSS 9.9점으로 평가된 CVE-2025-20333과 CVSS 6.5점으로 평가된 CVE-2025-20362 등 2가지로, 두 취약점 모두 시스코 보안 방화벽 ASA 소프트웨어와 FTD 소프트웨어의 VPN 웹 서버에서 HTTP(S) 요청의 사용자 입력 검증 부족으로 발생한다.

CVE-2025-20333은 유효한 VPN 사용자 자격 증명을 가진 인증된 공격자가 특별히 조작된 HTTP 요청을 통해 루트 권한으로 임의 코드를 실행할 수 있게 하는 반면, CVE-2025-20362는 인증되지 않은 원격 공격자가 제한된 URL 엔드포인트에 인증 없이 접근할 수 있도록 한다. 이러한 두 취약점이 연쇄적으로 악용돼 인증을 우회하고 악성 코드를 실행하는 데 사용되고 있다는 게 전문가들의 분석이다.

추가로 시스코는 CVE-2025-20363(CVSS 9.0)도 공개했는데, 이는 시스코 IOS 소프트웨어에 영향을 미친다. 다만 현재까지 실제 공격에서 악용된 사례는 보고되지 않았다. 그러나 보안 전문가들은 이 취약점 역시 원격 코드 실행이 가능한 고위험 요소로 평가하고 있다.

CISA의 이번 긴급지침 25-03에 따르면 모든 연방 민간 행정부 기관들은 동부 서머타임 기준 9월 26일 오후 11시 59분까지 모든 시스코 ASA 플랫폼과 FTD 어플라이언스를 식별하고 CISA가 제공하는 절차와 도구를 사용해 침해 여부를 평가해야 한다. 이후 침해 여부에 따라 코어 덤프 제출 및 네트워크 분리, 사고 보고 등의 조치를 9월 30일까지 해야 한다. 뿐만 아니라 9월 26일 오후 11시 59분까지 최신 소프트웨어 업데이트를 적용하고, 이후 48시간 내에 모든 후속 업데이트를 적용해야 한다.

이번 시스코 ASA 장비 취약점건은 미국 CISA 뿐만 아니라 호주 사이버 보안 센터(Australian Cyber Security Centre), 캐나다 사이버 보안 센터(Canadian Centre for Cyber Security), 영국 국가사이버보안센터(NCSC)까지 국제 공조가 진행되고 있다.

캐나다 사이버 보안 센터는 이번 공격이 “VPN 웹 서비스가 활성화된 시스코 ASA 5500-X 시리즈 장비를 표적으로 하고 있으며, 여러 정부와 중요 국가 인프라 네트워크에서 공격이 확인됐다”고 발표하고, “이러한 공격의 기술과 능력은 정교한 국가 후원 APT 그룹의 소행임을 시사한다”고 분석했다.

한국도 시스코 ASA 장비를 사용하고 있는 기업과 정부 기관들이 광범위하게 퍼져 있어 이번 취약점에 노출될 위험이 높다. 특히 VPN 웹 서비스를 활성화한 상태로 운영 중인 ASA 5500-X 시리즈 장비들은 즉각적인 점검과 업데이트가 필요할 것으로 보인다.