Contents
see List이번 영상은 Interlock 랜섬웨어 조직이 Cisco Secure Firewall Management Center(FMC) 취약점 CVE-2026-20131을 악용한 사건을 짧게 정리한 콘텐츠입니다. 방화벽은 보통 회사를 지키는 장비로 생각하지만, 이번 사례는 그 방화벽을 관리하는 콘솔 자체가 공격 통로가 될 수 있다는 점을 보여줍니다.
Amazon Threat Intelligence는 MadPot 센서와 공격자 인프라 분석을 통해 Interlock의 공격 흔적이 2026년 1월 26일부터 관측됐다고 설명했습니다. 이는 패치 공개보다 약 36일 앞선 시점으로, 공격자가 취약점이 공개되기 전부터 실제 환경에서 악용했을 가능성을 뜻합니다.
문제가 된 CVE-2026-20131은 인증 없이 원격 Java 코드를 실행할 수 있는 치명적인 취약점으로 알려졌습니다. 특히 root 권한 실행 가능성이 언급된 만큼, 단순 웹 취약점보다 훨씬 위험합니다. 관리 콘솔이 외부에 노출돼 있다면 공격자는 보안 장비 안쪽으로 들어가기 전, 보안 장비의 조종석부터 잡을 수 있습니다.
Interlock은 교육, 의료, 제조, 공공기관처럼 서비스 중단 비용이 큰 조직을 주로 노렸습니다. 침투 뒤에는 Windows 환경을 훑고, 브라우저 기록과 자격 증명, 네트워크 연결 정보를 수집하며, RAT와 ScreenConnect 같은 도구로 여러 개의 백도어를 마련했습니다. 한 번 들어간 뒤 오래 버티며 내부 이동을 준비하는 전형적인 랜섬웨어 운영 방식입니다.
이번 사건의 핵심 교훈은 “보안 장비도 패치와 노출 관리 대상”이라는 점입니다. 방화벽, VPN, 관리 서버처럼 중요한 장비일수록 인터넷에 직접 열어두지 말고, 관리자 접근은 별도 네트워크와 다중 인증, 접근 제어로 제한해야 합니다. 로그에서 의심스러운 원격 접속과 알 수 없는 관리 계정 생성도 반드시 확인해야 합니다.
기업 입장에서는 패치 적용 여부만 볼 것이 아니라 장비가 어떤 방식으로 외부에 노출돼 있는지 함께 점검해야 합니다. 오래된 관리 포트, 임시로 열어 둔 원격 접속, 협력사용 예외 계정은 모두 공격자가 먼저 확인하는 지점입니다. 특히 보안 장비는 정상 트래픽이 많이 모이는 곳이기 때문에 한 번 장악되면 내부망 탐색과 추가 침투가 훨씬 쉬워질 수 있습니다.
짧은 영상에서는 AWS와 Cisco 공개 자료 화면을 바탕으로 공격 흐름과 실사용 점검 포인트를 1분 내외로 정리했습니다.