FIRESTARTER 백도어, 연방정부 Cisco Firepower 장비 침입 및 패치 이후에도 생존…지능형 위협 분석

1. 주요 내용 및 공격 개요

2025년 9월, 미국의 한 연방 민간기관의 Cisco Firepower 보안 장비가 ‘FIRESTARTER’라는 악성코드에 침해되는 사건이 발생했습니다. 이번 공격은 미국 사이버안보 및 인프라보안국(CISA)과 영국 국가사이버보안센터(NCSC)가 공동으로 확인해 심각성이 높게 평가되었습니다.

FIRESTARTER는 단순한 악성코드가 아니라 원격에서 접근할 수 있는 백도어 기능을 탑재하고 있습니다. 특히 이 백도어는 보안 패치가 적용된 이후에도 악성 기능이 작동한다는 점에서, 공격자가 장비의 근본 영역까지 침투했음을 시사하며, 매우 정교한 지속성 전략을 사용했다고 볼 수 있습니다.

2. FIRESTARTER 악성코드의 특징 및 동작 방식

FIRESTARTER의 가장 두드러진 특징은 정교한 백도어 기능입니다. 정상적인 인증 절차를 우회하며 공격자에게 은밀하게 원격 접속 통로를 제공합니다. 기관 분석에 따르면 해당 악성코드는 보안 패치와 별도로 작동할 수 있는 내성을 갖추고 있습니다. 이는 코드가 시스템의 깊은 영역에 숨어 있거나, 패치 과정을 역으로 이용해 백도어 유지에 집중된 것으로 파악됩니다.

3. 피해 장비 정보 : Cisco Firepower 및 ASA 소프트웨어

Cisco Firepower 보안 장비는 전 세계 정부와 기업들이 널리 도입한 핵심 방화벽입니다. 이 장비에 적용된 ASA(Adaptive Security Appliance) 소프트웨어는 고도화된 방화벽, 침입 방지, 가상사설망(VPN), 위협 방지 등의 기능을 제공합니다. 연방정부 기관 등 국가 중요 인프라의 중심을 이루는 장비로, 침해 시 전체 네트워크 보안에 직접적인 피해가 발생합니다.

4. 패치 이후에도 악성코드가 생존한 기술적 배경

FIRESTARTER가 보안 패치 후에도 동작할 수 있었던 데에는 여러 기술적 배경이 있습니다. 첫째, 악성코드가 펌웨어나 부트 영역 등 시스템 깊이에 침투해 단순한 소프트웨어 복구로는 지울 수 없는 형태로 존재할 수 있습니다. 둘째, 패치 적용 시점에 생성되는 짧은 취약점을 노려, 패치 자체를 악용해 생존하는 방식도 의심되고 있습니다. 셋째, 다단계 침투 구조를 도입해, 복구 코드가 정상 프로그램인 것처럼 위장해 탐지를 우회할 수 있습니다.

5. 공식기관 발표 현황 및 교차 검증

CISA는 이번 사건에 대해 공식 보안 인시던트 브리핑을 통해 사고의 심각성을 전했습니다. 영국 NCSC 역시 동일한 보안 권고로 경보를 발령하는 등 양국 차원에서 교차 검증과 정보 공유가 이루어졌습니다. 분석 결과, FIRESTARTER는 국가의 지원을 받는 고도화된 APT(지속적 위협) 그룹이 개발했을 가능성이 크고, 실제 연방정부 시스템이 직접 침해된 만큼 국가 기반 사이버 공격의 심각한 사례로 받아들여지고 있습니다.

6. 주요 위협 시사점 및 대응 방향

첫째, 네트워크 보안 장비 자체가 공격 표면이 될 수 있음을 보여주었습니다. 둘째, 보안 패치가 전부가 아니라는 점이 다시 확인되었습니다. 즉, 이미 침투된 경우에는 단순 패치로는 제거가 어렵습니다. 셋째, 다층적 방어와 주기적인 무결성 점검, 트래픽 분석, 이상 탐지 시스템의 운용이 필수입니다.

7. 결론 및 향후 전망

FIRESTARTER 백도어 사건은 단순한 감염을 넘어, 국가 주요 인프라에 대한 고도화된 침투 기법을 보여준 대표 사례입니다. 특히 보안 패치 이후에도 기능이 생존한 점은, 공격자가 네트워크 방어의 허점을 집요하게 파고든다는 점을 각인시켰습니다. 각 기관과 기업은 공식 권고를 참고해 Cisco Firepower와 ASA 장비 무결성 점검, 이상 징후 탐지 강화, 침해 사고 대응 체계 재정비 등 적극적인 보안 운영이 요구됩니다.