2026년 6월, Mandiant는 Cisco Catalyst SD-WAN을 대상으로 한 제로데이 익스플로잇이 공개 일정보다 앞서 실제 환경에서 발생했음을 확인했습니다. 공격자는 정상적인 피어링 흐름을 가장한 rogue peering으로 디바이스에 접근한 뒤 루트 수준의 권한을 확보하고 rogue root 계정을 남긴 것으로 분석되며, 네트워크 엣지 장비의 인증 및 피어링 통제가 갖는 구조적 위험을 다시 한번 드러냈습니다. 본문에서는 Mandiant의 분석을 토대로 공격 전개의 단계별 흐름과 보안팀이 즉시 점검해야 할 항목을 함께 정리합니다.
- CVE-2026-20245는 Cisco Catalyst SD-WAN에서 발견된 제로데이 취약점으로, 공개 이전부터 실제 환경에서 익스플로잇이 발생한 사실이 Mandiant 분석을 통해 확인되었습니다.
- Mandiant는 공격자가 rogue peering을 통해 SD-WAN 디바이스에 접근한 뒤 관리자 권한을 획득하고 루트 수준 접근까지 확보한 것으로 분석했습니다.
- Mandiant는 디바이스에 rogue root 계정이 생성된 흔적을 확인했으며, 이를 지속성 확보 목적의 계정 생성 시도로 해석하고 있습니다.
SD-WAN과 같은 네트워크 엣지 장비에서 피어링 및 인증 통제가 침투 경로를 어떻게 형성하는지 점검할 필요가 있습니다.
SD-WAN 제로데이 사건 개요
CVE-2026-20245의 등장과 영향 범위
CVE-2026-20245는 Cisco Catalyst SD-WAN 환경에서 보고된 제로데이 취약점으로, 공개 시점 이전에 이미 실제 공격에 악용된 사실이 Mandiant의 침해 분석을 통해 확인된 사례입니다. 해당 취약점은 관리 플레인의 인증 및 피어링 처리 과정에서 발생하는 결함으로 추정되며, 익스플로잇에 성공한 공격자는 대상 디바이스에 대한 루트 권한을 확보할 수 있었던 것으로 알려져 있습니다. SD-WAN은 지사·원격지·본사를 연결하는 광역 네트워크의 핵심 제어 평면 역할을 수행하므로, 단일 디바이스의 루트 탈취가 전체 정책과 트래픽 흐름의 신뢰성을 훼손할 수 있다는 점에서 영향 범위가 일반 워크스테이션 취약점보다 큽니다.
Mandiant의 공개 일정과 분석 경위
Mandiant는 Cisco의 공식 디스클로저와 무관하게 자사 고객 환경에서 발생한 침해 흔적을 추적하던 중 익스플로잇 증거를 확보했고, 이를 토대로 CVE-2026-20245가 실 공격에 사용된 제로데이임을 확인했습니다. Bleeping Computer는 2026년 6월 24일 21시 29분(UTC) 기준 기사를 통해 Mandiant 분석 결과를 공개했고, Dark Reading 역시 같은 날 21시 16분(UTC)에 공격이 디스클로저 시점보다 약 2개월 먼저 발생했음을 전했습니다. 공개된 시점이 사실상 공격 종료 시점이 아니라 분석 결과 공유 시점이라는 점에서, 제로데이의 평균 탐지 지연이 운영 위험으로 직결된다는 점을 다시 확인할 수 있습니다.
| 항목 | 내용 |
|---|---|
| 취약점 식별자 | CVE-2026-20245 |
| 대상 제품 | Cisco Catalyst SD-WAN |
| 취약점 등급 | 제로데이 (공개 이전 실 공격 발생) |
| 영향 권한 | 루트 수준 접근, rogue root 계정 생성 |
| 공격 추정 접근 방식 | Rogue peering을 통한 SD-WAN 디바이스 접속 |
| 분석 주체 | Mandiant |
Rogue Root 계정 생성의 공격 흐름
Rogue Peering을 통한 초기 침투
Mandiant는 초기 침투 단계에서 공격자가 정상 SD-WAN 디바이스인 것처럼 위장한 rogue peering을 사용한 것으로 분석했습니다. SD-WAN은 여러 지사 디바이스 간 vBond/vSmart/vEdge 컨트롤러를 통해 인증과 정책 동기화를 수행하며, 이 과정에서 신규 피어 제안이 정상 트래픽과 구분되지 않으면 디바이스가 인증 컨텍스트를 생성합니다. 공격자는 이 특성을 이용해 신뢰 가능한 디바이스의 인증서 또는 토큰 형식을 모방한 rogue 노드를 등록하고, 정책 동기화 단계에서 정상 디바이스처럼 위장한 것으로 보입니다. 이 단계에서는 탐지 신호가 로그에 흔적만 남고 알람으로 연결되지 않을 가능성이 높아, 사후 분석이 어렵다는 점이 특징입니다.
관리자 권한 및 루트 탈취 단계
피어링이 성립된 뒤 공격자는 SD-WAN 관리 인터페이스와 내부 명령 처리 경로의 결함을 악용해 관리자 셸에 접근한 것으로 추정됩니다. CVE-2026-20245가 관리 플레인 명령 해석 단계의 결함이라는 점을 고려하면, 악의적으로 조작된 구성 페이로드 또는 인증 우회 조합을 통해 권한 상승이 이루어졌을 가능성이 높습니다. 관리자 권한을 확보한 공격자는 이후 디바이스의 운영 체제 셸에 접근할 수 있었고, 이로 인해 루트 수준의 임의 명령 실행이 가능한 상태로 전환된 것으로 분석됩니다.
지속성 확보를 위한 계정 생성
루트 권한을 기반으로 공격자는 rogue root 계정을 생성해 추후 재접속할 수 있는 백도어 경로를 만들었습니다. 정상 관리자 계정과 구분되지 않도록 명명 규칙을 모방하거나, 기존 로컬 인증 데이터베이스에 항목을 추가하는 방식이 사용된 것으로 해석됩니다. 또한 정책 및 라우팅 구성을 미세하게 조작해 트래픽 흐름을 은밀하게 변경할 수 있는 상태로 둔 점에서, 단순 데이터 유출을 넘어 네트워크 제어의 무결성을 훼손하려는 시도가 있었던 것으로 보입니다.
Cisco SD-WAN 위협의 구조적 의미
네트워크 엣지 제로데이 트렌드
최근 몇 년 사이 VPN, 방화벽, 무선 컨트롤러, SD-WAN 등 네트워크 엣지 영역에서 제로데이 공격이 꾸준히 보고되고 있으며, 본 사례도 이러한 흐름의 연장선에 있습니다. 엣지 장비는 패치 주기가 길고 가용성 제약이 엄격해 취약점이 장기 노출되는 경향이 있으며, 동시에 광범위한 트래픽이 집중되는 병목 지점이라는 점에서 공격자에게 매력적인 표적이 됩니다. CVE-2026-20245는 공개 이전에 이미 실 환경에서 악용되었다는 점에서, 엣지 영역 제로데이의 위험이 패치 가용 시점이 아니라 익스플로잇 가능 시점부터 시작됨을 보여줍니다.
피어링 및 인증 통제 부재가 만든 위험
SD-WAN은 기본적으로 분산된 디바이스 간 자동화된 피어링과 정책 동기화를 전제로 설계되어 있어, 신규 디바이스의 합법성을 검증하는 절차의 강도가 운영 효율과 직결됩니다. 그러나 자동 피어링을 위한 인증서와 토큰 검증이 일관되게 적용되지 않으면, rogue peering이 정상 트래픽으로 위장된다는 점이 본 사건의 핵심 문제로 지적됩니다. 즉, 피어링 단계의 인증 강화, 디바이스 핑거프린트 비교, 비정상 신규 노드의 정책적 차단이 함께 설계되지 않으면 제로데이 단일 결함이 곧 전체 컨트롤 플레인의 침투로 이어질 수 있습니다.
보안팀의 즉각 대응 체크리스트
취약 버전 패치 및 컴플라이언스 점검
가장 먼저 Cisco 공식 보안 권고에 명시된 고정 버전으로의 업그레이드 일정을 수립하고, 영향 범위에 따라 단계적으로 적용해야 합니다. 운영 영향이 큰 SD-WAN 컨트롤러의 경우 변경 관리 윈도우와 패치 적용 시점, 그리고 장애 발생 시 롤백 절차를 함께 설계해야 하며, 패치 적용 전이라도 공급사가 제공하는 완화 가이드(예: 관리 인터페이스 접근 제한, 인증서 재발행 등)가 있다면 우선 적용할 필요가 있습니다. 또한 자산 관리 시스템에 등록된 SD-WAN 디바이스의 소프트웨어 버전과 빌드 번호를 즉시 대조해, 패치 미적용 노드가 없는지 확인해야 합니다.
SD-WAN 비정상 계정 및 피어링 모니터링
본 사례에서 확인된 rogue root 계정 생성과 rogue peering을 고려하면, 디바이스 로컬 계정 목록과 피어 목록을 정기적으로 감사해야 합니다. 다음과 같은 항목을 모니터링 룰에 포함하는 것이 권장됩니다.
- 운영자가 직접 생성하지 않은 로컬 사용자 계정 및 비정상 권한 그룹의 존재 여부
- 관리 플레인에서 발생한 비인가 CLI 명령(예: user add, privilege 변경 등) 이력
- 신규로 등록된 vEdge/vSmart 노드의 인증서 지문과 직렬 번호 이상 유무
- 피어링 트래픽의 송신지, 빈도, 인증서 체인에서 관찰되는 통계적 이상치
제로데이 가정한 침투 탐지 시나리오
제로데이는 사전 시그니처로 차단하기 어렵기 때문에, 침투 이후 단계의 행위 기반 탐지와 지표 기반 헌팅이 중요합니다. SD-WAN 관리자 계정 신규 생성, 평소와 다른 시간대의 컨피그 변경, 비인가 IP에서의 컨트롤 플레인 접근을 묶어 상관 분석하고, EDR/NDR 로그와 결합해 SD-WAN 디바이스에서 발생하는 명령 실행을 가시화해야 합니다. 또한 정기적인 위협 헌팅을 통해 운영자가 인지하지 못한 rogue root 계정이나 rogue peering이 남아 있지 않은지 점검하고, 발견 시 즉시 차단 및 비밀 정보 회전 절차를 가동하도록 대응 매뉴얼을 정비해야 합니다.
맺음말
CVE-2026-20245는 공개 전 실 공격이 발생했다는 점에서 단순한 패치 사례가 아니라, SD-WAN과 같은 엣지 컨트롤 플레인의 인증과 피어링 통제 자체를 재점검해야 함을 시사합니다. 패치 적용과 비정상 계정·피어 감시에 즉시 착수하고, 제로데이 가능성을 전제로 한 탐지 시나리오와 헌팅 체계를 함께 정비하는 것이 이번 사건의 핵심 대응 과제입니다.
핵심 포인트 정리
- CVE-2026-20245는 Cisco Catalyst SD-WAN의 제로데이로, 공개 이전에 rogue peering을 통한 루트 권한 탈취와 rogue root 계정 생성이 발생했습니다.
- SD-WAN은 컨트롤 플레인 중심의 광역 네트워크 장비이므로, 단일 디바이스 침투가 정책과 라우팅 무결성으로 확장될 위험이 큽니다.
- 피어링 단계의 인증 강화, 비인가 계정과 신규 노드 모니터링, 행위 기반 탐지와 헌팅을 함께 설계해야 제로데이의 영향을 최소화할 수 있습니다.