긴급 경보! CISA, 시스코 장비의 심각한 취약점 악용 경고 (CVE-2025-20333, CVE-2025-20362)

미국 사이버보안 및 인프라 보안국(CISA)이 시스코 장비의 심각한 보안 취약점을 악용한 공격에 대한 긴급 경보를 발령했습니다. 특히 국가 지원을 받는 것으로 추정되는 공격 그룹 ‘ArcaneDoor’가 이러한 취약점을 이용하여 시스코 장비의 ROM을 변조, 재부팅 후에도 지속적인 악성코드를 유지하는 수법을 사용하고 있어 더욱 심각한 상황입니다.

CISA 긴급 지침 25-03 발령: 시스코 장비 긴급 점검 및 패치 필요

CISA는 2025년 9월 25일 긴급 지침 25-03을 발표하며, 시스코 ASA(Adaptive Security Appliance) 및 Firepower 방화벽 장치를 대상으로 하는 광범위한 공격 캠페인이 진행 중이라고 밝혔습니다. 공격자들은 읽기 전용 메모리(ROM)를 변조하여 재부팅 및 업그레이드 후에도 악성코드가 유지되도록 합니다. 이를 위해 CVE-2025-20333(원격 코드 실행) 및 CVE-2025-20362(권한 상승)의 두 가지 취약점을 악용합니다.

핵심 취약점: CVE-2025-20333 (위험도 9.9/10) 및 CVE-2025-20362 (위험도 6.3/10)

CVE-2025-20362는 중간 수준의 위험도(6.3/10)를 가지지만, CVE-2025-20333은 9.9/10의 매우 높은 위험도를 가진 원격 코드 실행 취약점입니다. 공격자는 이 취약점을 통해 시스템에 대한 완전한 제어 권한을 획득할 수 있습니다. 특히 이 두 취약점이 연계되어 사용될 경우 공격의 성공 가능성이 더욱 높아집니다.

ArcaneDoor 그룹의 배후: 국가 지원 해킹 조직 연루 가능성

시스코는 이러한 취약점들이 ArcaneDoor(마이크로소프트는 Storm-1849로 추적)라는 그룹에 의해 악용되고 있다고 판단하고 있습니다. 사이버 보안 커뮤니티는 ArcaneDoor를 국가 지원을 받는 위협 행위자로 보고 있지만, 아직 어느 국가에 속해 있는지는 확인되지 않았습니다. CISA 보고서에 따르면, "시스코는 이 캠페인이 2024년 초에 확인된 ArcaneDoor 활동과 관련이 있으며, 이 위협 행위자는 적어도 2024년부터 ASA ROM을 성공적으로 수정할 수 있는 능력을 보여주었다고 평가합니다."

긴급 대응: 연방 기관은 10월 2일까지 장비 상태 보고, 10월 16일까지 패치 완료

CISA는 연방 기관에게 신속하게 대응하여 인프라를 보호할 것을 촉구하고 있습니다. 여기에는 모든 시스코 ASA 및 Firepower 장비의 목록 관리, CISA의 코어 덤프 및 헌트 지침을 사용한 포렌식 분석 실행, 손상되었거나 수명이 다한 장비 연결 해제, 업데이트 적용 등이 포함됩니다. 그 후 기관은 조사 결과 및 장비 목록을 2025년 10월 2일까지 CISA에 보고해야 합니다.

CISA KEV 목록 등재: 3주 이내 패치 또는 사용 중단 권고

두 취약점은 CISA의 Known Exploited Vulnerabilities (KEV) 목록에 추가되었으며, 연방 기관은 취약한 도구를 패치하거나 사용을 중단할 때까지 3주(10월 16일까지)의 기한이 주어졌습니다. CISA는 ArcaneDoor가 누구를 표적으로 삼고 있는지 구체적으로 언급하지 않았지만, 일반적으로 정부 및 공공 부문 조직 외에도 시스코의 ASA 및 Firepower 장치는 기업 및 회사, 관리형 보안 서비스 제공 업체, 교육 및 연구 기관에서 널리 사용됩니다.

결론

CISA의 경고는 시스코 장비를 사용하는 모든 기관 및 기업에게 심각한 보안 위협을 알리는 중요한 메시지입니다. 신속하게 장비를 점검하고, 패치를 적용하며, 잠재적인 침해 흔적을 찾는 것이 중요합니다. 국가 지원 해킹 조직의 공격 가능성을 염두에 두고, 보안 강화를 위한 모든 노력을 기울여야 할 것입니다.