무슨 일이 일어났나
미국 사이버보안 인프라 보안국(CISA)이 연방 기관에 CVE-2026-20131의 즉시 패치를 명령했습니다. 이 취약점은 Cisco Secure Firewall Management Center(FMC)에서 발견된 원격 코드 실행(RCE) 결함으로, CyberPress에 따르면 2026년 1월 말부터 랜섬웨어 그룹에 의해 제로데이로 악용되고 있었습니다.
FMC는 기업 네트워크의 방화벽을 중앙에서 관리하는 소프트웨어입니다. 이것이 뚫리면 방화벽 정책을 변경하거나 내부 네트워크로 진입하는 것이 가능해집니다. 보안의 핵심 장비를 관리하는 소프트웨어가 공격 통로가 된 셈입니다.
2개월간 숨어든 제로데이
이 취약점의 타임라인이 특히 위험합니다.
| 시기 | 사건 | |------|------| | 2026년 1월 말 | Interlock 랜섬웨어 그룹이 CVE-2026-20131 악용 시작 | | 2026년 2월 | 패치 없이 활성 악용 지속 — 기업들은 공격 사실조차 모름 | | 2026년 3월 초 | Cisco 보안 업데이트 배포 | | 2026년 3월 중순 | CISA 긴급 패치 명령 (BOD directive) |
약 2개월간 패치가 없는 상태에서 랜섬웨어 그룹이 이 취약점을 활용했습니다. "제로데이"라는 이름 그대로, 방어할 수 있는 날이 0일이었던 기간이 두 달이나 됩니다.
Interlock 랜섬웨어 그룹
Interlock은 2025년 하반기부터 활동이 확인된 랜섬웨어 그룹입니다. 주로 기업 네트워크 인프라의 취약점을 노리는 것으로 알려져 있습니다. BeyondTrust의 CVE-2026-1731도 공개에서 랜섬웨어 악용까지 2주도 걸리지 않았는데, Interlock이 관련된 것으로 추정됩니다.
이 그룹이 특히 위험한 이유는 네트워크 보안 장비의 관리 인터페이스를 집중 공략한다는 점입니다. 방화벽, VPN 게이트웨이, 관리 콘솔처럼 높은 권한을 가진 시스템을 통해 전체 네트워크에 대한 접근 권한을 확보합니다.
지금 할 수 있는 대응법
Cisco FMC를 사용하는 기업이라면 다음을 즉시 실행하세요.
- Cisco FMC를 최신 보안 패치 버전으로 업데이트 — Cisco Security Advisory에서 해당 패치를 확인합니다
- FMC 관리 인터페이스의 접근 제한 — 인터넷에서 직접 접근이 가능한지 확인하고, 관리 VLAN이나 VPN 뒤로 격리합니다
- 네트워크 세분화(Segmentation) 확인 — FMC 서버가 침해되더라도 내부 네트워크 전체로 확산되지 않도록 세그먼트가 분리되어 있는지 점검합니다
- 이상 징후 로그 분석 — 1월 말 이후 FMC에서의 비정상적인 관리 작업, 정책 변경, 새로운 관리자 계정 생성 등을 확인합니다
- Cisco PSIRT 권고문 구독 — 향후 관련 업데이트를 즉시 받을 수 있도록 Cisco의 보안 권고 메일을 구독합니다
참고