美·英 정부, 시스코 방화벽에 숨은 해커 경고… 펌웨어 업데이트·재부팅으로도 제거 불가

美·英 정부, 시스코 방화벽 백도어 경고… 펌웨어·재부팅으로도 제거 불가

미국과 영국 사이버보안 당국은 시스코 네트워크 보안 장비에 맞춤형 백도어를 심은 국가 지원 해킹 그룹을 발견했다고 2025년 5월 8일(현지시간) 공동으로 밝혔다. 이 백도어는 펌웨어 업데이트와 일반적인 재부팅을 거치더라도 제거되지 않고 장비에 지속되는 특징을 보여, 정부 및 핵심 인프라 네트워크를 겨냥한 공격 campaña의 심각성이 한층 커졌다.

Firestarter 백도어, 시스코 장비에 침투해 지속성 확보

미국 사이버보안 인프라 보안청(CISA)과 영국 국가사이버보안센터(NCSC)는 ‘Firestarter’라는 코드명으로 불리는 이 백도어를 분석한 보고서를 공동 발표하며, 해당 악성코드가 시스코 Firepower 장비에 침투해 지속성을 확보했다고 밝혔다. 시스코의 위협 인텔리전스 부서인 탈로스는 이 해킹 그룹을 ‘UAT-4356’로 추적하며, 2024년 ‘ArcaneDoor’라는 이름의 스파이 활동 캠페인에서도 이 그룹의 흔적을 발견했다고 설명했다.

CISA는 미국 연방 civili 기관의 시스코 Firepower 장비에서 Firestarter를 발견했으며, 지속적인 네트워크 모니터링을 통해 의심스러운 연결을 포착한 후 분석을 진행했다고 밝혔다. 이 발견을 계기로 CISA는 5월 8일 긴급 지침을 발표해 모든 연방 civili 기관에 시스코 방화벽 인프라 점검과 장치 메모리 스냅샷 제출을 명령했다.

패치 후에도 살아남는 악성코드의 위험성

이번 공격의 가장 큰 특징은 해킹 그룹이 시스코가 2025년 9월에 발표한 보안 패치를 적용한 후에도 백도어가 장비에 잔존할 수 있다는 점이다. UAT-4356은 시스코가 패치한 두 가지 취약점(CVE-2025-20333, CVE-2025-20362)을 악용해 초기 침투에 성공했으며, 패치를 적용하기 전에 장비가 이미 감염된 경우 Firestarter가 여전히 장비 내에 존재할 가능성이 크다고 CISA는 경고했다.

Firestarter는 시스코 서비스 플랫폼 마운트 리스트(Service Platform mount list)를 조작해 지속성을 확보한다. 이 설정 파일은 장비가 부팅될 때 실행되는 프로그램들을 제어하는데, 해킹 그룹은 장치가 종료 signal을 받거나 재부팅될 때 악성코드를 보조 위치로 복제하고 마운트 리스트를 재작성해 시스템이 다시 온라인 상태가 되면 자동으로 재실행되도록 만든다. 일반적인 소프트웨어 재부팅으로는 이 백도어를 제거할 수 없으며, 물리적 전원 차단(하드 재부팅)을 통해서만 메모리에서 지속 메커니즘을 완전히 제거할 수 있다고 CISA와 시스코는 밝혔다.

장비에 침투한 후 Firestarter는 시스코 어aptive Security Appliance(ASA)와 Firepower Threat Defense(FTD) 소프트웨어의 핵심 네트워킹·방화벽 코드인 LINA에 악성 쉘코드를 주입한다. 이후 VPN 인증에 사용되는 특정 네트워크 요청을 가로채 공격자 코드를 실행할 수 있도록 설정하며, 숨겨진 트리거 시퀀스가 포함된 요청이 들어오면 공격자에게 백도어 접근 권한을 부여한다.

RayInitiator와 유사한 기술적 특징, UAT-4356의 장기적 위협

시스코 탈로스는 Firestarter가 이전에 확인된 ‘RayInitiator’라는 악성코드와 기술적 유사성이 높아, 두 도구가 UAT-4356의 동일한 개발 체계에서 파생되었을 가능성을 제기했다. CISA가 분석한 연방 기관 사례에서는 공격자들이 먼저 ‘Line Viper’라는 별도의 악성코드를 통해 장비 설정, 인증 정보, 암호화 키에 접근한 후 Firestarter를 설치했다고 밝혔다.

해당 기관이 2025년 9월 패치를 적용했을 때도 Firestarter는 장비에 잔존했으며, 공격자들은 이를 바탕으로 시스템 재침투를 시도했다고 CISA는 전했다. 이처럼 지속 가능한 백도어는 보안 패치를 적용하더라도 장비 내부에 숨어 있는 한 공격자의 재침투 가능성을 높이는 심각한 위협으로 작용할 수 있다.

시스코, 모든 사용자에게 신속한 조치 권고

시스코는 이번 위협에 대응하기 위해 모든 사용자에게 즉시 장비 점검과 펌웨어 최신화, 그리고 보안 모니터링 강화 등을 권고했다. 특히 연방 기관뿐만 아니라 민간 기업도 동일한 위협에 노출될 가능성이 있어 신속한 대응이 필요하다는 입장이다. 시스코는 추가적인 기술 지원과 위협 인텔리전스 공유를 통해 고객사 보호에 최선을 다할 계획이라고 밝혔다.

‘이번 공격은 사이버 위협의 진화와 지속성 확보 메커니즘의 복잡성을 보여주는典型的인 사례다. 모든 조직은 장비의 펌웨어와 소프트웨어를 최신 상태로 유지하고, 비정상적인 네트워크 활동을 신속히 탐지·대응해야 한다.’

시스코 장비 보안 위협, 어떻게 대응해야 하나?

• 장비 펌웨어 즉시 최신화: 시스코는 2025년 9월 패치를 발표했지만, 패치를 적용했다고 해서 백도어가 완전히 제거되는 것은 아니다. 모든 사용자는 최신 펌웨어로 업데이트하고 추가 점검을 실시해야 한다.
• 장기간 감염 여부 점검: 패치를 적용하기 전에 장비가 이미 감염된 경우, Firestarter가 잔존할 수 있다. 메모리 덤프 분석을 통해 숨은 악성코드 여부를 확인해야 한다.
• 네트워크 모니터링 강화: 비정상적인 VPN 인증 요청이나 장비 부팅 시 비정상적인 프로세스 실행 등을 감시해야 한다.
• 물리적 하드 재부팅 고려: 일반적인 재부팅으로는 백도어가 제거되지 않으므로, 의심스러운 장비는 물리적 전원 차단을 고려해야 한다.
• 시스코 보안 권고 사항 준수: 시스코의 공식 보안 권고와 위협 인텔리전스 보고서를 지속적으로 확인하고, 필요한 조치를 즉시 이행해야 한다.