핵심 요약
| 항목 | 내용 |
|---|---|
| CVE | CVE-2026-20127 |
| CVSS | 10.0 (Critical) |
| 영향 제품 | Cisco Catalyst SD-WAN Controller (구 vSmart), Cisco Catalyst SD-WAN Manager (구 vManage) |
| 공격 조건 | 인증 불필요, 원격 실행, 사용자 상호작용 없음 |
| 악용 시작 | 2023년부터 (3년간 제로데이 상태) |
| 공개일 | 2026년 2월 25일 |
| 위협 행위자 | UAT-8616 (Cisco Talos 추적, 고도화된 위협 행위자) |
| 우회 방법 | 없음. 패치만이 유일한 대응 |
무슨 취약점인가
Cisco Catalyst SD-WAN의 피어링 인증 메커니즘이 제대로 동작하지 않는다. 공격자는 조작된 요청 하나로 인증을 완전히 우회하고, 내부 고권한 사용자(non-root)로 로그인할 수 있다.
여기서 끝이 아니다. 이 계정으로 NETCONF(포트 830)에 접근하면 SD-WAN 패브릭 전체의 네트워크 설정을 조작할 수 있다. 라우팅을 바꾸고, 가짜 피어를 추가하고, VPN 구성을 변경하는 것이 모두 가능하다.
CVSS 벡터가 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H다. 네트워크 기반, 낮은 복잡도, 권한 불필요, 사용자 상호작용 없음, 범위 변경까지 — 취약점 심각도 지표에서 나쁠 수 있는 건 전부 나쁘다.
3년간의 침묵 — UAT-8616의 공격 체인
이 취약점이 무서운 진짜 이유는 CVSS 점수가 아니다. Cisco Talos에 따르면 2023년부터 이미 실제 공격에 사용되고 있었다. 3년 동안 아무도 몰랐다.
Cisco Talos가 UAT-8616으로 추적하는 위협 행위자의 공격 체인은 다음과 같다.
1단계: 인증 우회 (CVE-2026-20127)
조작된 요청으로 SD-WAN Controller 또는 Manager에 고권한 내부 사용자로 로그인한다. 인증서도, 크리덴셜도 필요 없다.
2단계: 가짜 피어 등록
NETCONF를 통해 SD-WAN 관리/제어 플레인에 “로그 피어(rogue peer)”를 추가한다. 이 가짜 피어는 정상적인 SD-WAN 구성 요소처럼 보이기 때문에 패브릭 내에서 신뢰받는 동작을 수행할 수 있다.
3단계: 소프트웨어 다운그레이드 → 루트 탈취
내장된 업데이트 메커니즘을 이용해 소프트웨어 버전을 의도적으로 낮춘다. 다운그레이드된 버전에는 2022년에 공개된 CVE-2022-20775(CVSS 7.8, CLI 경로 탐색을 통한 권한 상승)가 존재한다. 이 취약점을 체이닝해서 루트 권한을 획득한다.
4단계: 원상 복구 + 증거 인멸
루트 권한을 획득한 후, 소프트웨어를 원래 버전으로 되돌린다. /var/log 하위 로그, 명령어 히스토리, 네트워크 접속 기록을 삭제한다. 포렌식 분석을 극도로 어렵게 만드는 전형적인 APT 수법이다.
5단계: 지속성 확보
로컬 사용자 계정을 생성하되, 기존 정상 계정과 유사한 이름을 사용한다. 루트 계정에 SSH 인증 키를 추가하고, SD-WAN 관련 시작 스크립트를 수정해 환경을 커스터마이징한다.
정리하면: 인증 우회 → 가짜 피어 → 다운그레이드 → 루트 → 원상복구 → 증거 인멸. 단일 취약점이 아니라 체이닝을 통해 전체 SD-WAN 패브릭에 대한 지속적 루트 접근을 만들어낸 것이다.
왜 SD-WAN 제어 플레인이 위험한가
SD-WAN은 단순한 네트워크 장비가 아니다. 분산된 지점, 클라우드, 데이터센터를 연결하는 오버레이 네트워크의 두뇌다. 제어 플레인이 뚫리면 다음이 가능하다.
- 라우팅 조작: 트래픽을 공격자가 제어하는 경로로 우회시킬 수 있다. 중간자 공격(MitM)의 네트워크 인프라 버전이다.
- 세그먼테이션 무력화: VPN과 세그먼트 간 격리를 해제해 원래 접근할 수 없는 영역으로 이동할 수 있다.
- 지속성 확보: 엔드포인트 보안 솔루션이 탐지할 수 없는 네트워크 레벨의 백도어를 유지할 수 있다.
- 공급망 공격: SD-WAN 패브릭을 통해 연결된 모든 지점과 파트너사에 영향을 미칠 수 있다.
GreyNoise의 2026 State of the Edge 보고서에 따르면, 2025년 하반기에만 38만 개의 고유 소스 IP에서 29.7억 건의 악성 세션이 인터넷 노출 인프라를 대상으로 탐지됐다. 네트워크 에지 장비는 이미 공격자들의 최우선 타깃이다.
영향 범위
CVE-2026-20127은 디바이스 설정과 무관하게 다음 배포 유형에 영향을 미친다.
- Cisco Catalyst SD-WAN Controller (구 vSmart) — 모든 배포
- Cisco Catalyst SD-WAN Manager (구 vManage) — 모든 배포
Cisco는 같은 날 SD-WAN에 영향을 미치는 5개의 추가 취약점도 공개했다. 특히 CVE-2026-20129(CVSS 9.8)는 인증 없이 netadmin 역할로 접근할 수 있고, CVE-2026-20126(CVSS 8.8)은 저권한 사용자가 OS 루트 권한을 얻을 수 있다. SD-WAN 환경을 운영 중이라면 이 취약점들도 함께 패치해야 한다.
정부 대응
이 취약점의 심각성은 각국 정부의 대응 속도에서 드러난다.
CISA (미국)
- 공개 당일 KEV(Known Exploited Vulnerabilities) 카탈로그에 CVE-2026-20127과 CVE-2022-20775를 동시 등록
- 긴급 지침 ED 26-03 발령: 연방 기관에 24시간 내 패치 의무화
- 3월 5일까지 보유 SD-WAN 시스템 인벤토리 및 조치 내역 보고 요구
Five Eyes (미국, 영국, 캐나다, 호주, 뉴질랜드)
- 합동 경보 발령
- 호주 ASD-ACSC가 최초 취약점 보고자
침해 지표(IoC) 확인 방법
Cisco Talos와 ACSC가 공개한 탐지 가이드라인에 따르면, 다음을 확인해야 한다.
인증 로그 점검
/var/log/auth.log에서Accepted publickey for vmanage-admin을 알 수 없는 IP에서 시도한 기록 확인- SD-WAN Manager 인터페이스에 설정된 System IP와 로그의 IP를 대조
- 인식할 수 없는 IP가 성공적으로 인증한 기록이 있으면 침해로 간주
소프트웨어 변조 흔적
- 소프트웨어 다운그레이드 후 다시 업그레이드된 이력
- 예상치 못한 리부트 기록
- 비정상적으로 작거나 누락된 로그 파일 (변조 흔적)
계정 및 접근 설정
- 생성/삭제된 의심스러운 사용자 계정
- vmanage-admin 또는 root 계정에 추가된 미인가 SSH 키
PermitRootLogin활성화 변경
피어링 이벤트
- 제어 연결(control connection) 피어링 이벤트의 타임스탬프를 유지보수 일정과 대조
- 예상치 못한 시간대나 인식할 수 없는 IP의 피어링 기록
중요: 2023년까지 거슬러 올라가서 로그를 검토해야 한다. 최근 로그만 확인하면 3년간의 침해를 놓칠 수 있다.
즉시 조치 사항
1. 패치 적용 (유일한 완전 대응)
- Cisco 보안 권고문(cisco-sa-sdwan-rpa-EHchtZk)의 Fixed Software 섹션에서 패치 버전 확인
- 20.9 이전 모든 릴리스는 지원되는 패치 버전으로 마이그레이션 필수
- 온프레미스와 클라우드 호스팅 배포 모두 패치 상태 검증
- 우회 방법(workaround)은 존재하지 않는다
2. 침해 여부 확인
- 패치만 적용하고 침해 확인을 건너뛰면 이미 심어진 백도어가 그대로 남는다
- 위의 IoC 확인 항목을 2023년부터 소급해서 점검
- 이상 징후 발견 시 Cisco TAC에 즉시 연락
3. 공격 표면 축소
- SD-WAN 관리 및 제어 플레인의 인터넷 노출 제거
- 관리 인터페이스에 IP 허용목록 또는 제로 트러스트 접근 제어 적용
- 네트워크 세그먼테이션으로 관리 플레인 격리
4. 접근 제어 강화
- 관리자 접근에 MFA 적용
- 미사용 계정 비활성화
- NETCONF 및 API 권한을 최소 권한 원칙에 맞게 제한
5. 모니터링 강화
- SIEM에 비정상 인증 및 소프트웨어 버전 변경 탐지 룰 추가
- 피어링 이벤트 실시간 모니터링 체계 구축
- Cisco Catalyst SD-WAN Hardening Guide 적용
한국 기업에 대한 시사점
Cisco SD-WAN은 국내에서도 대기업, 금융기관, 통신사, 공공기관에서 광범위하게 사용되고 있다. 특히 분산된 지점망을 운영하는 금융권과 유통업, 재택근무 인프라를 SD-WAN으로 구축한 기업이 직접적인 영향권에 있다.
이 취약점의 핵심 위험은 세 가지다.
첫째, 3년간 제로데이였다는 것. 2023년부터 악용됐는데 2026년 2월에야 공개됐다. 이 기간 동안 국내 SD-WAN 환경이 이미 침해됐을 가능성을 배제할 수 없다. 패치만 하면 끝이 아니라 소급 조사가 필수다.
둘째, 체이닝 기법의 정교함. CVE-2026-20127 단독으로는 non-root 접근이지만, 2022년에 나온 CVE-2022-20775와 조합하면 루트까지 간다. 과거 패치를 적용했더라도 이번 취약점을 통해 다시 다운그레이드당할 수 있다는 점이 핵심이다. 두 CVE를 모두 패치해야 한다.
셋째, 포렌식 회피. 공격자가 소프트웨어 버전을 복원하고 로그를 삭제하기 때문에 일반적인 모니터링으로는 탐지가 어렵다. 피어링 이벤트, SSH 키, 사용자 계정 변경 이력을 능동적으로 헌팅해야 한다.