Cisco Unified CM의 SSRF 취약점 CVE-2026-20230 실제 공격으로 악용 시작

최근 Cisco Unified Communications Manager(Unified CM)에서 발견된 서버측 요청 위조(SSRF) 취약점 CVE-2026-20230이 실제 공격으로 악용되고 있어 기업의 신속한 대응이 요구된다. 이 취약점은 공격자가 인증 없이 원격에서 장비에 접근해 루트 권한까지 획득할 수 있는 고위험 사안으로, Cisco가 6월 3일 보안 업데이트를 발표했지만 이미 공격이 시작된 상태다. 보안 연구기관인 Defused에 따르면 이 취약점을 악용한 공격이 주말 동안 관찰되었으며, 특정 IP 주소에서 file:// 페이로드를 사용해 장비에 파일 쓰기 시도가 감지됐다. SSD Secure의 기술 분석에 따르면 공격자는 Webdialer 구성 요소의 URL 처리 취약점을 악용해 임의의 파일 쓰기와 원격 코드 실행까지 가능하다고 설명했다.

이번 공격은 단순히 теоре적인 위협이 아니라 이미 실전으로 구현된 상태로, 보안 담당자들은 지체 없이 패치를 적용해야 한다. 특히 Unified CM과 Unified CM Session Management Edition(SME)을 사용하는 조직은 즉각적인 조치가 필요한 상황이다. 이 글에서는 CVE-2026-20230 취약점의 기술적 세부사항, 공격 방식, 피해 가능성, 그리고 신속한 대응 방안을 자세히 설명한다.

Cisco Unified CM의 SSRF 취약점 CVE-2026-20230이란 무엇인가

CVE-2026-20230은 Cisco Unified Communications Manager(Unified CM)와 Unified CM Session Management Edition(SME)의 HTTP 요청 입력 검증 오류로 발생하는 서버측 요청 위조(SSRF) 취약점이다. 이 취약점은 공격자가 인증 없이 원격에서 장비에 특수 조작된 HTTP 요청을 보내면 발생하며, 성공적인 공격 시에는 장비의 운영체제에 파일 쓰기가 가능해진다.

공격자는 이 취약점을 통해 '/tmp/cve-2026-20230-test.txt'와 같은 파일을 생성하는 시연용 공격을 수행했지만, 실제로는 웹쉘을 설치하거나 루트 권한을 획득하는 등 더 심각한 공격으로 이어질 수 있다. Cisco는 이 취약점의 CVSS 점수를 8.6으로 평가했으며, 이는 '높은 심각도'에 해당한다. 특히 이 취약점은 인증 없이 원격에서 악용될 수 있어 보안상 매우 위험한 상황이다.

이번 취약점은 SSD Secure에 의해 Cisco에 보고되었으며, 연구기관은 기술 세부사항을 공개하지 않았지만 이후 Defused를 통해 실제 공격이 관찰됐다. SSD Secure의 분석에 따르면 공격자는 Webdialer 구성 요소의 URL 처리 로직을 악용해 file:// URI를 통해 파일 시스템에 접근하고 파일을 작성할 수 있다고 설명했다. 이 과정에서 공격자는 파일 경로와 내용을 제어할 수 있어 원격 코드 실행까지 가능하다는 점에서 심각한 위협으로 분류된다.

실제 공격 방식과 진행 과정 분석

Defused의 threat intelligence에 따르면 CVE-2026-20230 취약점을 악용한 공격이 주말 동안 관찰됐다. 공격은 단일 IP 주소에서 발원했으며, file:// 페이로드를 사용해 장비에 파일 쓰기 시도가 감지됐다. 특히 '/tmp/cve-2026-20230-test.txt'라는 테스트 파일을 생성하려고 시도한 것으로 확인됐다.

이 공격은 단순히 장비의 취약성을 확인하는 수준을 넘어 더 심각한 공격으로 이어질 가능성이 크다. 공격자는 이 취약점을 통해 웹쉘을 설치하거나, 시스템 명령어를 실행하거나, 심지어 루트 권한을 획득할 수 있는 가능성이 존재한다. SSD Secure의 기술 분석에 따르면 Webdialer 구성 요소의 URL 처리 로직이 file:// URI를 적절히 검증하지 못해 발생하는 이 취약점은, 공격자가 임의의 파일 쓰기와 원격 코드 실행을 가능하게 한다고 설명했다.

공격자가 이 취약점을 악용하는 과정은 다음과 같다. 먼저 공격자는 특수 조작된 HTTP 요청을 장비로 보낸다. 이 요청은 Webdialer 구성 요소가 처리하며, file:// URI를 통해 파일 시스템에 접근을 시도한다. 공격자는 파일 경로와 내용을 제어할 수 있어, '/etc/passwd'와 같은 중요한 시스템 파일을 덮어쓰거나, '/tmp/' 디렉토리에 웹쉘을 설치할 수 있다. 이 과정에서 공격자는 장비의 루트 권한까지 획득할 수 있어 보안상 매우 심각한 위협으로 분류된다.

피해 가능성과 조직에 미치는 영향

CVE-2026-20230 취약점이 악용될 경우 조직은 심각한 보안 사고에 직면할 수 있다. 우선, 공격자는 장비에 웹쉘을 설치해 내부 네트워크에 대한 지속적인 접근을 유지할 수 있다. 또한 시스템 명령어를 실행해 민감한 데이터에 접근하거나, 랜섬웨어를 설치할 수 있으며, 심지어는 장비의 루트 권한을 획득해 전체 시스템을 장악할 수 있다.

특히 Cisco Unified CM은 기업의 통화 및 메시징 인프라를 담당하는 핵심 시스템으로, 이 장비가 공격당할 경우 통화 기록, 메시지 내용, 사용자 정보 등 민감한 데이터가 유출될 가능성이 크다. 또한 이 장비를 통해 내부 네트워크로의 lateral movement(수평 이동) 공격이 가능해져 전체 조직의 보안이 위협받을 수 있다.

Defused의 분석에 따르면 이 취약점은 CVSS 점수 8.6으로 '높은 심각도'로 분류되며, 아직 CISA Known Exploited Vulnerabilities(KEV) 카탈로그에 등재되지 않은 상태다. 이는 이 취약점이 아직 widely known하지 않지만 이미 실전 공격으로 악용되고 있음을 의미한다. 따라서 조직은 즉시 패치를 적용하고, 추가적인 보안 조치를 취해야 한다.

Cisco의 보안 업데이트 및 대응 방안

Cisco는 CVE-2026-20230 취약점에 대한 보안 업데이트를 6월 3일 발표했다. 이 업데이트는 Unified CM과 Unified CM SME의 입력 검증 로직을 개선해 file:// URI를 통한 파일 시스템 접근을 차단하는 데 중점을 두고 있다. Cisco는 모든 사용자에게 가능한 한 빨리 이 업데이트를 적용할 것을 권장하고 있다.

업데이트 적용 시 주의해야 할 점은 다음과 같다. 우선, Unified CM과 Unified CM SME의 버전에 따라 업데이트 방법과 호환성이 다를 수 있으므로, Cisco의 공식 문서를 참조해야 한다. 또한 업데이트 적용 전에는 시스템 백업을 수행해 데이터 손실을 방지해야 한다. 특히 통화 및 메시징 인프라가 중단되지 않도록 업데이트 일정을 신중히 계획해야 한다.

Cisco는 업데이트 외에도 다음과 같은 추가 보안 조치를 권장하고 있다. 첫째, 장비에 대한 원격 접근을 최소화하고, 필요한 경우 IP 화이트리스트를 적용해야 한다. 둘째, 네트워크 트래픽을 모니터링해 비정상적인 file:// URI 접근 시도를 탐지해야 한다. 셋째, 시스템 로그를 정기적으로 검토해 이상 징후를 조기에 발견해야 한다.

SSD Secure의 기술 분석과 공격 시연

SSD Secure는 CVE-2026-20230 취약점을 Cisco에 보고한 연구기관으로, 이후 기술 분석과 PoC(Proof-of-Concept) 공격을 공개했다. 연구진은 Webdialer 구성 요소의 URL 처리 로직이 file:// URI를 적절히 검증하지 못해 발생하는 이 취약점을 상세히 설명했다.

공격 시연에서 SSD Secure는 특수 조작된 HTTP 요청을 Unified CM 장비로 보내 '/tmp/cve-2026-20230-test.txt' 파일을 생성하도록 했다. 이 시연은 취약점의 존재를 증명하는 수준이었지만, 실제 공격에서는 이 취약점을 악용해 웹쉘 설치, 루트 권한 획득, 원격 코드 실행 등이 가능하다는 점을 보여준다. 연구진은 file:// URI를 통한 파일 시스템 접근이 가능하다는 점에서 이 취약점이 매우 심각하다고 강조했다.

SSD Secure의 분석에 따르면, 공격자는 Webdialer 구성 요소의 URL 처리 로직을 악용해 file:// URI를 통해 파일 시스템에 접근하고, 임의의 파일 쓰기와 읽기가 가능하다고 설명했다. 이 과정에서 공격자는 파일 경로와 내용을 제어할 수 있어, '/etc/passwd'와 같은 중요한 시스템 파일을 덮어쓰거나, '/var/www/html/' 디렉토리에 웹쉘을 설치할 수 있다. 이 취약점은 인증 없이 원격에서 악용될 수 있어 보안상 매우 위험한 상황이다.

조직의 실질적인 대응 전략

CVE-2026-20230 취약점에 대한 조직의 실질적인 대응 전략은 다음과 같다. 우선, Cisco의 보안 업데이트를 즉시 적용해야 한다. 이 업데이트는 Unified CM과 Unified CM SME의 입력 검증 로직을 개선해 file:// URI를 통한 파일 시스템 접근을 차단하는 데 중점을 두고 있다. 업데이트 적용 전에는 시스템 백업을 수행하고, 통화 및 메시징 인프라가 중단되지 않도록 일정을 신중히 계획해야 한다.

둘째, 네트워크 트래픽을 모니터링해 비정상적인 file:// URI 접근 시도를 탐지해야 한다. 특히 Webdialer 구성 요소로 들어오는 HTTP 요청을 주시해, file:// URI가 포함된 요청이 감지되면 즉시 차단하고 조사해야 한다. 셋째, 시스템 로그를 정기적으로 검토해 이상 징후를 조기에 발견해야 한다. 로그에서 file:// URI 접근 시도나 '/tmp/cve-2026-20230-test.txt' 파일 생성 시도 등이 발견되면 즉시 대응 조치를 취해야 한다.

넷째, 장비에 대한 원격 접근을 최소화하고, 필요한 경우 IP 화이트리스트를 적용해야 한다. 또한 다단계 인증(MFA)을 활성화해 인증 절차를 강화해야 한다. 다섯째, Cisco Unified CM과 관련된 모든 시스템과 네트워크 구성 요소를 검토해 추가적인 취약점이 있는지 확인해야 한다. 특히 통화 및 메시징 인프라의 보안을 강화하기 위해 네트워크 분할과 접근 제어 정책을 재검토해야 한다.

향후 전망과 주의사항

CVE-2026-20230 취약점은 이미 실전 공격으로 악용되고 있어 조직의 신속한 대응이 요구된다. Cisco의 보안 업데이트를 적용하더라도, 추가적인 보안 조치를 취하지 않으면 유사한 취약점이 재발할 가능성이 있다. 따라서 조직은 지속적인 모니터링과 보안 강화 노력을 게을리 해서는 안 된다.

향후 이 취약점을 악용한 공격은 더욱 정교해질 가능성이 크다. 공격자는 file:// URI를 통한 파일 시스템 접근을 넘어, 시스템 명령어 실행과 루트 권한 획득을 시도할 수 있다. 또한 이 취약점을 lateral movement 공격에 활용해 내부 네트워크로 침투할 가능성도 존재한다. 따라서 조직은 보안 인프라를 지속적으로 업데이트하고, threat intelligence를 활용해 새로운 공격 패턴을 탐지해야 한다.

마지막으로, CVE-2026-20230 취약점은 CVSS 점수 8.6으로 '높은 심각도'로 분류되며, 아직 widely known하지 않지만 이미 실전 공격으로 악용되고 있음을 명심해야 한다. 조직은 이 취약점을 단순한 보안 이슈가 아니라, 비즈니스 연속성에 영향을 미칠 수 있는 심각한 위협으로 인식하고, 신속하고 체계적인 대응을 취해야 한다. 보안 업데이트 적용, 모니터링 강화, 접근 제어 강화 등을 통해 이 취약점으로 인한 피해를 최소화해야 한다.