아마존, Cisco ISE·Citrix NetScaler 제로데이 동시 악용 공격 포착

아마존, Cisco ISE·Citrix NetScaler 제로데이 동시 악용 공격 포착

아마존 위협 인텔리전스 팀이 기업 네트워크의 핵심 보안 장비인 Cisco ISE와 Citrix NetScaler에서 각각 발견된 제로데이 취약점이 실제 공격에 동시에 활용된 정황을 포착했다고 밝혔다. 해당 공격은 아마존이 운영하는 대규모 허니팟 네트워크 ‘MadPot’에서 탐지되었으며, 공격자가 조직 내부에서 가장 민감한 인증·접근제어 시스템을 집중적으로 노린 점이 위협 수준을 크게 높이고 있다.

두 장비에 사용된 취약점은 모두 인증을 거치지 않고 공격이 가능한 치명적 제로데이였으며, 당시 공개조차 되지 않은 상태였다. 전문가들은 이번 사례를 “기업 보안 체계의 첫 관문이 무방비로 열릴 수 있다는 경고”로 보고 있다.

1. Citrix NetScaler — ‘Citrix Bleed 2’ 메모리 유출 제로데이

공격자는 NetScaler 장비에서 발견된 미공개 취약점을 이용해 시스템 메모리를 무단으로 읽어냈다. 이를 통해

• 사용자 세션 토큰 탈취
• 인증 우회 및 접속 권한 획득
• MFA 무력화 가능성

등이 확인되며, 피해 규모가 급격히 확대될 수 있는 위험성이 지적되었다. 세션 토큰 탈취는 사용자가 로그인한 것처럼 가장할 수 있어, 내부망 접근까지 이어지는 치명적 결과를 초래할 수 있다.

2. Cisco ISE — 인증 없이 루트 권한 획득 가능한 RCE 취약점

Cisco ISE는 조직 내 유·무선 네트워크, VPN 등 모든 접속 권한을 관리하는 핵심 엔진이다. 그러나 공격자는 인증 없이 내부 API를 이용해 루트 권한으로 코드를 실행할 수 있는 제로데이를 이용해 장비를 완전히 장악할 수 있었다.

이 취약점은 이후 CVE-2025-20337로 공식 등록되었으며, 당시에는 공개되지 않은 상태에서 공격에 악용된 것으로 파악됐다.

3. 아마존 MadPot이 포착한 정황 — “같은 공격자, 제로데이 두 개 동시 활용”

2025년 5월, 아마존 MadPot에서 NetScaler를 모방한 허니팟 노드에서 미확인 공격 트래픽이 탐지되었다. 분석 결과 이는 ‘Citrix Bleed 2’를 겨냥한 최초 공격 시도로 확인되었다.

이후 동일 공격자가 Cisco ISE 노드로 보이는 장비에 접근하려는 시도가 다시 발견되었다. 아마존의 분석에 따르면 공격자는 다음을 악용하고 있었다.

• Citrix Bleed 2 — 세션 토큰 탈취
• Cisco ISE 제로데이 — 인증 없이 루트 권한 획득

즉, 공격자는 서로 다른 제조사의 핵심 장비에서 두 개의 제로데이를 동시에 보유하고 있었던 셈으로, 상당히 고도화된 위협 세력이 개입했을 가능성이 높다.

4. Cisco ISE 내부에 숨겨둔 맞춤형 웹셸 “IdentityAuditAction”

아마존은 공격자가 Cisco ISE 내에 ‘IdentityAuditAction’이라는 웹셸을 설치한 사실도 확인했다. 일반적인 PHP·ASP 기반 웹셸과는 전혀 달랐으며, ISE의 자바 기반 아키텍처를 깊이 이해한 전문가가 제작한 커스텀 백도어였다는 분석을 내놓았다.

이 웹셸은 단순한 명령 실행을 넘어 정책 파일 조작, 내부 프로세스 제어 등 ISE 환경에 특화된 기능을 수행할 수 있었던 것으로 추정된다.

5. 왜 Citrix와 Cisco ISE가 표적이 되는가

이 두 장비는 기업 네트워크의 ‘가장 앞단’에서 인증·접근·정책 판단을 수행하는 장비로, 공격자가 장악하는 순간 피해 확산 속도가 매우 빠르다.

• 시스코 ISE → 접속 승인/차단의 정책 중심
• Citrix NetScaler → VPN·애플리케이션 게이트웨이 역할

이들 장비가 침해될 경우

• 인증 우회
• 정책 변경
• 관리자 권한 탈취
• 내부망 확산

이 연쇄 단계가 몇 초 만에 이루어질 수 있다.

6. “이제 공격자는 인증·접근제어 시스템부터 노린다”

보안 전문가들은 이번 공격을 통해 공격자가 더 이상 서버나 워크스테이션부터 공격하지 않는다는 점을 다시 확인했다고 말한다. 대신 조직의 “첫 문” 역할을 하는 NAC·VPN·게이트웨이를 최우선 전략 목표로 삼고 있다.

특히 인증을 거치지 않는 제로데이와 결합할 경우, 내부 보안 체계가 아무리 튼튼해도 초입이 뚫리는 순간 전체가 위험해진다.

7. 방어 전략 — “시그니처 탐지만으로는 부족하다”

전문가들은 다음과 같은 대응 전략을 강조한다.

• 행위 기반 탐지 (정상 패턴에서 벗어난 API 호출·정책 변경 모니터링)
• 엣지 장비 패치 속도를 최우선 관리
• 제로트러스트 기반 접근 제어 적용
• 패치 발표 직후 ‘패치 미적용 조직’을 노리는 공격 증가에 대비

최근 VPN·ADC·NAC 장비가 연이어 공격당하고 있는 만큼, 조직은 엣지 장비의 취약점 관리 프로세스를 더욱 강화해야 한다는 지적이다.

이번 사건은 “이제 공격자는 네트워크 첫 관문을 먼저 노린다”는 새로운 공격 트렌드를 보여주며, 기업은 인증·접근제어 계층을 최우선 보호 자산으로 인식해야 한다는 점을 다시 한번 일깨워 준다.