제로데이, 방화벽의 안전성을 넘어 위협의 중심으로
올해 초, 전 세계 보안 업계에 커다란 충격을 남긴 사건이 있었다. 대형 네트워크 장비 제조사인 시스코(Cisco)의 방화벽 관리 소프트웨어에서 발견된 제로데이 취약점을 악용한 랜섬웨어 조직의 공격이 발생한 것이다.
일반적으로 방화벽은 네트워크 보안의 최후 방어선으로 여겨지는데, 이를 겨냥한 이번 사건은 기존의 보안 개념을 뒤흔든 사건이다. 특히 해당 공격은 영세한 개인 네트워크가 아닌, 주요 정부 및 공공 인프라, 의료 시스템 등을 공격 대상으로 삼아 큰 파장을 일으켰다.
이런 랜섬웨어 위협은 우리나라를 포함한 각국 정부와 기업에도 심각한 경고를 던져주고 있다. 2026년 3월 4일, 시스코는 자체 방화벽 관리 소프트웨어인 시큐어 방화벽 관리 센터(Cisco Secure Firewall Management Center, FMC)의 치명적인 보안 취약점(CVE-2026-20131)을 발표하며 관련 패치를 즉시 배포했다.
이 취약점은 인증되지 않은 원격 공격자가 영향을 받는 장치에서 루트 권한으로 임의의 자바 코드를 실행할 수 있게 하는 매우 심각한 결함이었다.
광고
그러나 아마존 위협 인텔리전스 팀의 조사 결과, 이미 1월 26일부터 랜섬웨어 조직인 '인터록(Interlock)'이 해당 취약점을 악용하고 있었다는 사실이 드러났다. 시스코의 공개보다 무려 36일이나 앞서 공격이 시작된 것이다. 제로데이 공격이란 보안 취약점이 발견되어 공개되기 전, 또는 패치가 제공되기 전에 악용되는 공격을 의미한다.
방어자들이 해당 취약점의 존재조차 알기 전에 피해가 발생하기 때문에 특히 위험하다. 이번 인터록 사건은 전형적인 제로데이 공격의 위험성을 보여주는 사례다.
공격자들은 보안 업계가 대응 방법을 마련하기도 전에 이미 여러 조직의 시스템에 침투하여 피해를 입혔다. 아마존 위협 인텔리전스 팀은 흥미로운 방식으로 인터록의 공격 전술을 파악할 수 있었다. 공격자들이 사용한 인프라 서버가 잘못 구성되어 일부가 노출되었고, 이를 통해 아마존 보안 연구팀은 인터록 조직의 다단계 공격 체인, 맞춤형 원격 접근 트로이 목마(RAT, Remote Access Trojan), 정찰 스크립트, 회피 기술 등을 상세히 분석할 수 있었다.
광고
인터록은 공격 초기부터 악성코드 및 맞춤형 RAT를 이용해 피해자의 네트워크에 침투했고, 이후 데이터 암호화는 물론 민감한 정보를 탈취하는 정교한 다단계 전략을 구현했다. 이번 사건이 특히 주목받는 이유는 공격 대상의 특성 때문이다.
인터록은 운영 중단에 특히 취약한 지방 정부, 의료 기관, 교육 부문을 집중적으로 표적으로 삼았다. 민감한 정보와 일상 운영이 모두 데이터에 의존적인 이런 시스템들은 일단 기능이 중단되면 복구까지 상당한 시간이 소요될 뿐만 아니라, 공공 서비스의 마비로 인한 사회적 파장이 크다.
미네소타주 정부는 인터록 랜섬웨어 공격의 대표적인 피해 사례다. 공격 이후 몇 주간 시스템 복구 작업에 몰두해야 했으며, 상황이 너무 심각하여 주지사는 복구 지원을 위해 주방위군을 호출해야 했다.
주정부의 핵심 시스템이 마비되면서 행정 서비스 제공에 큰 차질이 빚어졌고, 재건 비용으로 막대한 자금이 소요되었다.
광고
이는 랜섬웨어 공격이 단순한 사이버 범죄를 넘어 공공 안전과 직결된 문제임을 보여준다.
한국 정부와 기업에 미치는 보안상의 시사점
의료 부문의 피해는 더욱 심각했다. 투석 치료를 제공하는 대형 의료 회사인 다비타(DaVita)가 인터록의 공격을 받아 수백만 명의 환자 건강 기록이 유출되었다. 투석 치료는 신장 기능이 저하된 환자들에게 생명 유지에 필수적인 치료이기 때문에, 시스템 마비는 곧 환자들의 생명을 위협하는 상황으로 이어질 수 있다.
또한 오하이오주의 주요 의료 시스템 역시 공격을 받아 역시 수백만 명의 민감한 건강 정보가 노출되는 사태가 발생했다. 의료 데이터 보안의 취약성이 적나라하게 드러난 사건이었다.
인터록의 공격 수법은 단순한 데이터 암호화를 넘어선다. 이들은 규제 노출을 언급하며 피해자에게 압력을 가하는 전술을 사용하는 것으로 알려져 있다.
의료기관이나 정부 기관은 개인정보보호법, 의료정보보호법 등 엄격한 규제를 받고 있다. 인터록은 데이터를 암호화하는 것뿐만 아니라, 탈취한 민감 정보의 유출을 빌미로 규제 기관에 신고하거나 공개하겠다고 위협한다.
광고
이는 피해 조직이 막대한 규제 벌금과 규정 준수 위반으로 인한 법적 책임을 떠안게 될 수 있다는 두려움을 이용하는 것이다. 이러한 이중 협박 전술은 피해 조직이 몸값을 지불할 가능성을 높이는 효과적인 수법으로 평가되고 있다.
이번 사건은 글로벌 보안 업계에 여러 가지 교훈을 남겼다. 첫째, 방화벽과 같은 보안 장비조차도 완벽하지 않다는 점이다.
기업과 기관들은 방화벽을 설치했다고 해서 안전하다고 생각해서는 안 된다. 다층 방어 전략과 지속적인 모니터링이 필수적이다. 둘째, 제로데이 취약점의 발견과 패치 사이의 시간차가 치명적일 수 있다는 점이다.
이번 사건처럼 공격자들이 취약점을 먼저 발견하고 악용하기 시작하면, 패치가 나올 때까지 방어할 방법이 거의 없다. 전문가들은 제로데이 공격에 대응하기 위해서는 예방보다 탐지와 대응 능력을 강화해야 한다고 조언한다. 공격이 발생했을 때 이를 신속하게 감지하고, 피해 확산을 최소화하기 위한 사고 대응 체계를 구축하는 것이 중요하다.
광고
또한 정기적인 보안 점검과 취약점 스캔, 직원 교육 등을 통해 전반적인 보안 수준을 높여야 한다. 국제적인 차원의 협력 역시 중요하다. 인터록과 같은 사이버 범죄 조직은 특정 국가에 한정되지 않고 전 세계를 표적으로 삼기 때문에, 각국의 보안 기관 및 기업 간 정보 공유와 공동 대응이 필수적이다.
아마존과 같은 글로벌 기업의 위협 인텔리전스 팀이 발견한 정보는 다른 조직들이 공격을 예방하는 데 도움을 줄 수 있다. 보안 커뮤니티 전체가 협력하여 위협 정보를 공유하고, 공격 패턴을 분석하며, 효과적인 대응 방안을 함께 개발해야 한다.
신속한 대응과 국제 협력의 필요성 대두
기업과 기관들은 소프트웨어 개발 단계부터 보안을 최우선으로 고려하는 '보안 중심 개발(Secure by Design)' 접근방식을 도입해야 한다. 취약점이 발견된 후 패치하는 방식이 아니라, 처음부터 보안이 강화된 시스템을 설계하고 구축하는 것이 근본적인 해결책이다.
특히 대중 활용도가 높은 네트워크 장비나 클라우드 인프라를 제공하는 업체들은 제품 출시 전 철저한 보안 검증을 거쳐야 하며, 고객들에게도 적절한 보안 설정 가이드와 교육 자료를 제공해야 한다. 한국도 이러한 글로벌 사이버 위협에서 결코 자유롭지 않다. 한국의 정부 기관, 의료 시설, 교육 기관, 기업들 역시 시스코 장비를 비롯한 다양한 글로벌 네트워크 장비를 사용하고 있다.
동일한 취약점이 존재한다면 동일한 위험에 노출될 수밖에 없다. 특히 한국은 높은 디지털화 수준과 인터넷 의존도로 인해 사이버 공격의 영향이 더욱 클 수 있다. 정부와 기업은 이번 사건을 교훈 삼아 자체적인 보안 태세를 점검하고, 제로데이 공격에 대비한 탐지 및 대응 체계를 강화해야 한다.
개인 사용자들도 경각심을 가져야 한다. 기업이나 기관의 시스템이 공격받으면 개인의 민감한 정보가 유출될 수 있다. 의료 기록, 금융 정보, 개인 식별 정보 등이 유출되면 신원 도용, 금융 사기 등 2차 피해로 이어질 수 있다.
자신이 이용하는 서비스 제공자들이 적절한 보안 조치를 취하고 있는지 관심을 가지고, 보안 사고 발생 시 신속하게 대응하는 것이 중요하다. 결국 이번 인터록 랜섬웨어 사건은 단순히 기술적 문제에 국한되지 않고 정치, 경제, 사회 전반에 걸친 영향력을 가진 보안 이슈라는 점을 분명히 보여준다. 방화벽이라는 보안의 최후 방어선마저 뚫렸다는 사실은, 어떤 시스템도 완벽하게 안전하지 않다는 것을 의미한다.
기업과 개인이 안정적인 네트워크 운영과 데이터 보호를 달성하기 위해서는 보안을 최우선 과제로 고려하고, 지속적으로 위협에 대응할 수 있는 체계를 갖춰야 한다. 당신이 지금 사용하는 네트워크와 장비가 상대적으로 안전하다고 느끼는가?
제로데이라는 보안 허점은 언제나 어디서든 존재할 가능성이 있음을 우리 모두 잊지 말아야 한다.
김도현 기자
광고
[참고자료]
vertexaisearch.cloud.google.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}
