Cisco 방화벽도 뚫렸다: 보안패치로도 살아남는 Firestarter 악성코드, 근본적 대응 시급

작성자:
  • 보안 패치 후에도 Firestarter 악성코드가 Cisco 방화벽에 남아있을 수 있음이 공식 경고로 확인됨
  • 기존 보안 조치 및 재부팅만으론 제거 불가, 장비 완전 초기화와 비밀번호 교체 등 근본 대책이 요구됨
  • 금융, 에너지, 공공기관뿐 아니라 중소기업까지 광범위하게 위협에 노출되어 신속한 점검 필요

“방화벽·네트워크 보안의 신뢰 경계를 무너뜨리는 신종 위협, 각 조직의 체질 개선이 시급합니다.”

2. 사건 개요: Firestarter 악성코드의 침투 대상과 방식

미국 사이버보안국(CISA)과 영국 국립사이버보안센터(NCSC)는 공동 경고를 통해 Firestarter 악성코드의 심각한 위협을 발표했습니다. 이 악성코드는 Cisco의 주요 네트워크 방화벽인 Firepower, ASA, FTD 장비를 노립니다. 특히, 방화벽 재부팅이나 최신 보안 패치를 적용해도 제거되지 않고, 시스템 내 깊숙이 잔존한다는 점이 큰 문제입니다.

공격자는 CVE-2023-20269 취약점을 노려 관리자 권한을 탈취하고, 원격 명령 실행과 중요한 정보 유출, 추가 악성코드 설치 등 2차 피해로 이어질 수 있습니다.

3. 공식 경고의 주요 내용

CISA와 NCSC의 공동 권고에 따르면, 2024년 11월 이후 미·영 주요 네트워크에서 Firestarter가 빠르게 확산되고 있으며, 각 조직의 엄중한 점검이 요구됩니다. 경고문의 핵심 체크리스트는 아래와 같습니다.

  • IOC(침해 지표) 즉시 확인 및 점검 강화
  • ASA 설정 파일 비정상 변경, 숨은 계정 여부 검토
  • 이상 로그 및 명령제어(C2) 서버와의 비정상 통신 탐지
  • 비인가 관리자 계정 및 미확인 백그라운드 프로세스 점검

4. Firestarter의 위협과 진화 양상

Firestarter는 표면적인 악성코드를 뛰어넘는 고도화된 백도어 트로이목마입니다. 방화벽 펌웨어와 같은 깊은 영역에 침투해 숙주 시스템과 결합하며, 보안 패치·재부팅만으로 제거가 어렵습니다.

  • 방화벽 정책 우회와 트래픽 리다이렉션 유발
  • 기업 내부 네트워크 추가 공격이나 로그 증거 인멸
  • 장기적인 네트워크 장악과 추가 악성코드 유입 창구로 활용됨

이러한 특성 때문에 Firestarter의 존재는 전체 IT 인프라를 심각하게 흔들 수 있다는 평가입니다.

5. 탐지 및 대응 가이드라인

네트워크 보안 실무자는 즉시 다음과 같은 점검을 실시해야 합니다.

장비 및 환경 점검

  • ASA는 9.18.x 이상, FTD는 7.2.x 이상으로 최신화 여부 및 취약점 패치 적용 확인
  • SSH/Telnet 원격 접속 기록과 외부 접근 흔적

트래픽 및 로그 분석

  • 정상적이지 않은 외부 IP와의 통신 기록
  • 비표준 포트 사용 및 이상 암호화 트래픽, 비정상 로그 삭제 확인

계정·권한 관리 점검

  • 다단계 인증(MFA) 적용, 관리자 계정 이력 감사, 비밀번호 정책 강화

6. 파급력: 산업별·중소기업(SME) 영향

Firestarter는 특정 산업에 국한되지 않고, 금융·에너지·공공기관은 물론, 상대적으로 보안 인프라가 약한 중소기업까지 위협 범위가 넓습니다. 특히 금융권은 고객 정보 유출 및 거래 시스템 장악, 에너지 업계는 네트워크 제어장치 직접 위협, 공공기관은 국가 인프라 보호의 취약점 노출 등 치명적 결과로 이어질 수 있습니다.

중소기업은 보안 예산 및 전담 인력 부족, 패치 미흡, 노후 장비 사용과 외부 관리서비스 의존이 커 특히 취약합니다. 나아가 대기업과의 연결지점이 공격 경유지로 악용될 위험도 높습니다.

7. 근본적 대응책과 보안 권고

현재 보안 패치만으로는 Firestarter 제거가 한계가 있습니다. 따라서 다음과 같은 근본적 보안 조치를 적극 시행해야 합니다.

  • 방화벽 완전 초기화 및 출고 상태 재설정: 감염 의심 장비는 백업 파일도 재사용 금지하고, 초기화 후 필수 설정만 재적용
  • 관리자 계정 비밀번호 전면 교체: 장비 초기화 이후 모든 관리자 계정의 비밀번호를 새롭게 설정
  • 정품 펌웨어·소프트웨어만 공식 경로에서 업데이트
  • 네트워크 분할 및 내부 접근 제한: 방화벽을 뚫려도 추가 피해 확산 최소화
  • 엔드포인트 보안(EDR/XDR) 다층 방어체계 구축

8. 결론 및 향후 전망

Firestarter 사태는 보안 패치 신뢰에 경종을 울리며, 방화벽 등 보안 인프라 스스로가 공격 표적이 되는 시대임을 보여줍니다. 보안의 근간을 재검토하고, 전사적인 체질 개선이 무엇보다 중요하다는 교훈을 남깁니다.

향후 CISA와 NCSC는 추가 IOC와 지침을 공개할 예정이며, Cisco도 제품군 보안 업데이트를 준비 중입니다. 각 조직은 긴밀한 최신 정보 모니터링, 즉각적 대응, 제로 트러스트(Zero Trust) 모델 도입으로 보안 수준 제고에 나서야 할 때입니다.

※ 본 기사는 CISA(AA24-174A), NCSC 공식 발표 및 BleepingComputer 보도에 기반합니다.

  • 방화벽을 직접 노리는 신종 악성코드 등장, 기존 검증된 전략만 의존해서는 대응 불가
  • 보안 인프라와 운영 체계 전반의 근본 검토, 체계적 정기 점검 필요
  • 제조사의 공식 업데이트 및 권고, 국제 보안기관 지침을 신속히 반영하는 경영 판단이 핵심

TAG : Firestarter, Cisco 방화벽, 보안 패치, 악성코드, CISA, NCSC, 네트워크 보안

댓글 남기기