- CVE-2026-20245는 공개 최소 2개월 전부터 알려지지 않은 위협 행위자에 의해 제로데이로 악용된 것으로 Mandiant가 분석함
- 공격자는 rogue peering을 이용해 피해자 SD-WAN 디바이스에 접속한 뒤 관리자 권한 및 루트 권한을 획득한 것으로 Mandiant가 분석함
- 공개 시점에서 고심각도(high-severity)로 분류되었으며, 기업 SD-WAN 인프라 전반에 대한 패치 적용과 자산 점검이 권고됨
제로데이의 위험은 패치 배포 이후가 아니라, 공개가 이루어지기 이전 시점부터 이미 현실화되며 핵심 네트워크 장비로 확산될 수 있다는 점을 명확히 보여주는 사례로 평가됨.
시스코 Catalyst SD-WAN 환경에서 발견된 제로데이 취약점 CVE-2026-20245가 공식 패치 공개 시점으로부터 최소 두 달 전부터 실제 공격에 악용된 것으로 확인되었다. 본稿는 Mandiant의 분석과 외부 보안媒体的 보도를 종합해, 공격 흐름과 기술적 함의 그리고 기업이 즉시 취해야 할 대응 절차를 정리한다.
개요: 시스코 Catalyst SD-WAN 제로데이 사건의 의미
왜 SD-WAN 취약점이 핵심 인프라 위협인가
SD-WAN은 지사·원격지·데이터센터를 연결하는 기업 네트워크의 중심 역할을 수행하며, 침투 발생 시 우회 통신 경로 및 클라우드 트래픽 전반을 장악할 수 있는 위치에 있다. 따라서 SD-WAN 디바이스에서 루트 권한이 탈취되면 랜섬웨어 배포, 내부 횡적 이동, 데이터 유출의 발판이 될 수 있다.
CVE-2026-20245 기본 정보와 심각도
| 항목 | 내용 |
|---|---|
| 취약점 식별자 | CVE-2026-20245 |
| 대상 제품 | Cisco Catalyst SD-WAN |
| 심각도 | high-severity |
| 악용 시점 | 공개 최소 2개월 이전부터 |
| 취득 권한 | 관리자(admin) 및 루트(root) 레벨 접근 |
| 추정 연결 방식 | rogue peering |
| 분석 기관 | Mandiant (Google 소유) |
| 1차 공개 | 2026년 6월 25일, The Hacker News |
공격 흐름과 기술적 분석
Rogue Peering을 이용한 초기 침투
Mandiant는 공격자가 정상적인 피어링 세션을 위장한 rogue peering을 통해 대상 디바이스에 접근한 것으로 분석했다. 이는 통상적인 관리 평면(Management Plane) 침투와 다른, 데이터 평면 또는 컨트롤 평면의 신뢰 경계를 우회하는 방식으로 분석된다. 보안 관점에서는 정상적인 SD-WAN 오버레이 토폴로지 내의 신뢰 관계 자체가 공격 표면으로 변질될 수 있음을 의미한다.
관리자 권한에서 루트 권한으로의 탈취 경로
초기 세션이 확보된 이후 공격자는 관리자 자격증명을 장악하고, 이후 권한 상승(Privilege Escalation)을 통해 디바이스 운영체제 레벨의 루트 권한까지 획득한 것으로 추정된다. 루트 권한이 탈취되면 디바이스 펌웨어의 변경, 보안 정책의 비활성화, 그리고 lateral movement의 거점으로의 전환이 가능해지며, 이후의 사고 대응을 통한 증거 인멸도 현실적으로 어려워진다.
공개 2개월 전부터 지속된 선제 악용의 시사점
가장 주목할 지점은 공격이 패치 가능 시점보다 최소 2개월 먼저 시작되었다는 사실이다. 이는 제로데이의 위험이 패치 배포 시점이 아니라, 취약점이 공개되어 모두가 인지하기 이전부터 이미 현실화되고 있음을 보여준다. Mandiant 평가는 이러한 pre-disclosure exploitation 패턴이 고도화된 위협 행위자에게 점점 보편화되고 있음을 시사한다.
영향 범위와 기업 대응 가이드
노출 가능 SD-WAN 자산 점검 절차
- Cisco Catalyst SD-WAN Manager(구 vManage) 및 vEdge/vSmart/vBond 디바이스의 모델과 소프트웨어 버전 식별
- 외부에서 접근 가능한 관리 인터페이스의 노출 여부 및 VPN/허용 IP 대역 재검토
- 피어링 세션 로그에서 rogue peering으로 의심되는 비인가 엔드포인트의 존재 여부 확인
- 관리자 계정의 최근 로그인 이력 및 비인가 명령어 실행 흔적 감사
- 디바이스 설정의 무결성(Integrity) 검증 및 미인가 변경 여부 비교
즉시 적용해야 할 패치 및 완화 전략
우선 시스코가 배포한 보안 패치를 가능한 한 빠른 시일 내에 전 자산에 적용해야 하며, 패치 적용이 즉시 어려운 환경에서는 시스코 권고에 명시된 완화 옵션과 ACL(Access Control List) 기반의 비인가 피어링 차단 정책을 임시로 적용해야 한다. 동시에 관리 인터페이스를 내부 전용 망으로 격리하고, MFA(Multi-Factor Authentication)와 세션 모니터링을 강화하는 것이 권장된다.
장기적 SD-WAN 보안 강화 방향
장기적으로는 Zero Trust 원칙을 SD-WAN 오버레이 전반에 적용하고, 디바이스 신뢰 인증서(Tamper-resistant identity) 기반의 상호 인증을 강화해야 한다. 또한 위협 인텔리전스 피드를 기반으로 한 능동적인 헌팅(Hunting) 체계를 수립하고, 침투가 발생하더라도 횡적 이동을 차단할 수 있는 마이크로 세그멘테이션(Micro-Segmentation)을 디바이스 단위까지 확대 적용하는 것이 바람직하다.
결론: 제로데이 대응을 위한 보안 전략 재점검
CVE-2026-20245 사례는 핵심 네트워크 인프라의 제로데이 취약점이 공개 시점 이전부터 이미 악용될 수 있다는 가능성을 다시 한번 보여주었다. 무엇보다도 패치 가용 시점을 전제로 한 전통적인 사이클이 더 이상 충분하지 않으며, 기업은 사전 위협 인텔리전스 확보, 자산 가시성 강화, 침투 가정 기반의 방어 전략을 보완할 필요가 있다. 시스코 SD-WAN을 운영하는 조직은 본문에서 제시한 점검 체크리스트를 즉시 실행에 옮기고, 보안 정책 전반에 대한 재검토를 추진할 필요가 있다.
핵심 정리
- CVE-2026-20245는 공개 최소 2개월 전부터 루트 권한 탈취에 악용된 제로데이임
- 공격의 초기 침투 경로는 rogue peering으로 추정되며 신뢰 경계 자체가 표면화됨
- 영향 자산 식별, 패치 즉시 적용, 관리 평면 격리 및 모니터링 강화가 핵심임
- 장기적으로는 Zero Trust 및 마이크로 세그멘테이션을 통한 SD-WAN 보안 체계 재정립이 필요함
참고 자료: The Hacker News 원문 기사, Dark Reading 보도