F5 네트웍스, 개발 환경 해킹으로 BIG-IP 소스코드 유출

F5 네트웍스, 개발 환경 해킹으로 BIG-IP 소스코드 유출

글로벌 네트워크·애플리케이션 보안 업체 F5 네트웍스(F5 Networks) 제품 개발·엔지니어링 환경이 국가 지원 성격의 해킹 조직에 의해 장기간 침투당해 BIG-IP 일부 소스코드와 미공개 취약성 관련 문서가 유출된 사실이 확인됐다. F5는 이 침해를 2025년 8월 9일경 인지해 조사에 착수했으며, 미 법무부(DoJ)의 요청으로 공개 시점이 늦춰졌다가 10월 중 관련 사실을 대외 공표했다.

미 연방 당국의 긴급 대응

사건 발생 이후 미 연방 사이버 당국은 급속히 대응에 나섰다. 미국 사이버보안·인프라안보국(CISA)은 긴급지시(Emergency Directive)를 내려 연방기관에 F5 장비의 목록화와 즉각적인 패치·완화 조치를 요구했다. CISA는 이번 사안이 연방망에 위험을 초래할 수 있다고 경고했다.

침해 경로와 유출 내용

F5 조사 결과 공격자는 제품 개발 환경과 지식관리 플랫폼에 장기간 접근해 문서와 파일을 외부로 빼냈다. 유출물에는 BIG-IP 제품의 일부 소스코드와 아직 공개되지 않은 취약성에 대한 기술 자료, 그리고 일부 고객의 구성(Configuration)·구현 정보가 포함된 것으로 알려졌다. F5는 현재까지 유출된 정보를 이용한 실질적 공격(미공개 취약점의 악용)은 확인되지 않았다고 밝혔으나, 보안 업계는 유출 자체만으로도 공격자에게 ‘공격 설계도’를 제공하는 셈이라고 보고 있다.

공급망 보안과 고객 영향

BIG-IP 제품군은 기업과 기관의 트래픽 관리·WAF(Web Application Firewall)·VPN·접근제어 등 네트워크 경계에서 핵심 역할을 하는 장비다. 소스코드나 구성 정보가 유출될 경우 공격자는 특정 환경을 겨냥한 맞춤형 익스플로잇을 제작하거나, 유출된 자격증명·API 키를 악용해 내부로 침투할 수 있다. 이런 이유로 CISA와 영국 NCSC 등 해외 기관이 즉각 경고와 권고를 내렸다.

조사 결과와 업계 반응

조사에 참여한 외부 포렌식·위협분석 업체들은 빌드·릴리스 파이프라인(소프트웨어 공급망)에 대한 변조 증거는 없다고 밝혔다. 그러나 개발·문서 환경 자체의 접근 권한 확보는 취약점 발굴 속도를 높이고 일부 고객의 위험 노출을 초래할 수 있다는 분석이다. 업계는 침해 기간이 최소 수개월에서 1년 이상 지속된 것으로 추정하고 있으며, 공식 귀속은 아직 신중한 상태다.

전문가 진단과 대응 방향

보안 전문가들은 이번 사태의 핵심이 공급망 코드 변조보다 개발·문서 환경의 권한 통제 실패에 있다고 진단했다. 유출된 문서만으로도 제로데이 발굴이 빨라지고, 맞춤형 공격 가능성이 높아진 만큼 단기적으로는 패치, 자격증명 회수, 위협 헌팅을 즉시 시행해야 한다고 조언했다. 중장기적으로는 개발·지식관리·빌드 인프라의 분리 및 접근통제를 강화해야 한다고 강조했다.