미국 사이버보안 및 기반시설 보안국(CISA)이 연방기관에 시스코(CSCO) 방화벽 기기의 심각한 제로데이 취약점에 대해 즉각적인 패치를 지시했다. 이번 조치는 정부 기관이 광범위한 사이버 공격에 노출된 것으로 확인되면서, 국가 정보망 전반의 보안 강화 필요성이 급부상한 데 따른 것이다.

공식 지시에 따르면 문제의 취약점은 시스코의 ASA 5500-X 시리즈 장비에서 발견됐다. 이 시리즈는 현재 더 이상 판매되지 않지만, 시스코는 보안 패치 및 기술 지원을 계속 제공하고 있다. 특히 CVE-2025-20362와 CVE-2025-20333 두 가지 취약점은 장비 내 가상사설망(VPN) 기능이 활성화돼 있을 경우에만 악용 가능하다. 첫 번째 취약점은 로그인 없이도 네트워크에 접근할 수 있게 하며, 두 번째 취약점은 해커가 루트 권한까지 탈취할 수 있는 치명적인 결함으로, 그 심각도 점수는 10점 만점에 9.9점이다.

사이버 공격은 이미 지난 5월부터 발생하고 있었으며, 다수의 정부 기관이 시스코 측에 이 같은 공격 사실을 통보한 것으로 알려졌다. 시스코는 본 공격이 ‘ArcaneDoor(비밀의 문)’라는 이름의 국가 지원 해킹 조직에 의한 것으로 보고 있다. 이 조직은 제로데이 취약점을 이용해 인증 없는 원격 코드 실행과, 시스템 재부팅 및 업그레이드 후에도 남는 ROM 조작을 통해 지속적으로 시스템을 장악해 왔다.

특히 이번 공격은 감염된 장비의 ROMMON이라는 펌웨어를 타깃으로 한 것으로 나타났다. 해당 펌웨어는 운영 체제 부팅을 담당하고 있으며, 관리자들은 이 기능을 활용해 패스워드를 복구하거나 시스템 수리를 진행한다. 공격자들은 ROMMON을 이용해 부트킷이라는 악성 프로그램을 설치했고, 이는 운영 체제가 실행되기 전에 작동함으로써 전통적인 보안 업데이트로도 제거되지 않는 지속성을 갖는다.

또한 해커들은 백도어 활동을 은폐하기 위해 장비의 로그 기록을 비활성화시키고, 경우에 따라 감염된 장비를 의도적으로 비정상 종료시켜 분석을 어렵게 만들었다.

시스코는 이들 취약점에 대해 공식 패치를 배포했으며, 별도의 소프트웨어에도 영향을 주는 세 번째 보안 문제에 대해서도 업데이트를 제공했다. 다만 현재까지 세 번째 취약점은 실제 악용 시도가 없다고 밝혔다.

CISA는 모든 연방기관에 대해 자체 네트워크 내 취약 장비 목록을 작성할 것을 요구했다. 만약 장비가 이미 감염됐거나, 오는 9월 30일 이후 보안 업데이트 대상에서 제외되는 경우에는 즉각 연결을 해제해야 한다. 그렇지 않은 장비의 경우, 미 동부시간 기준 오늘 오후 11시 59분까지 패치를 완료해야 한다.

이번 사건은 오래된 시스템에 대한 지속적인 보안 업데이트와 관리의 중요성을 다시 한번 부각했다. CISA는 향후 더 많은 공급망 기반 보안 위협에 대비한 선제적 조치의 필요성을 강조했다.