VPN 전문 이반티 제로데이 취약점, 긴급 보안 패치 배포
특정 쿠키 변조와 위장, '샌드위치 기법', 웹 보안에 치명적 위협
CISA,, 'AI 보안 협력 가이드라인' 발표, "국가 차원 대응" 당부

(사진:픽셀스)
(사진:픽셀스)

[애플경제 김예지 기자] VPN 보안업체 이반티(Ivanti)의 제로데이 취약점이 지속되면서 주요 기관과 기업 네트워크를 위협하고 있다. 특히 1년 이상 이런 상황이 이어지면서 사용자들은 긴급 보안 패치가 필요한 실정이다. 웹 보안 분야에서도 요즘 기승을 떩 있는 '쿠키 샌드위치 공격'이 사용자들을 괴롭히고 있다. 이러한 보안 취약점들은 해결되기 무섭게 또 다른 위협이 등장하는 악순환을 반복하고 있다.

보안업체 파이오링크에 의하면 우선 당장은 이반티 취약점에 대한 긴급 패치와 쿠키공격에 대비한 브라우저 보안 등의 대책이 시급하다는 지적이다. 이런 상황을 염두에 둔 미국 사이버보안 인프라 보호국(CISA)도 최근 AI 관련 사이버 보안 사건과 취약점에 대응할 수 있는 협력 가이드라인을 발표, 눈길을 끈다. CISA는 AI 보안 강화를 위한 협력 가이드라인을 발표하며, 국가 차원의 공동 대응 필요성을 강조했다.

이반티(Ivanti) 제로데이 취약점 발견, 긴급 보안 패치 발표

특히 파이오링크가 공개한 조사 보고서는 "이반티(Ivanti)는 일단 자사 제품 'Connect Secure, Policy Secure, ZTA 게이트웨이'에서 발생한 두 가지 중요한 보안 취약점을 해결하기 위한 긴급 보안 패치를 배포했다."며 이를 준수할 것을 당부하기도 했다.

해당 취약점들은 CVE-2025-0282와 CVE-2025-0283으로, 원격 코드 실행과 권한 상승 문제를 포함하고 있다. 특히 CVE-2025-0282는 원격에서 인증 없이 악용될 가능성이 크기 때문에 주의가 필요하다. 실제로 일부 이반티 Connect Secure 장비에서 악용된 사례도 확인됐다.

이반티는 즉각적으로 최신 보안 패치를 배포했으며, 보안 전문가들은 기업들이 이를 신속히 적용할 것을 권장하고 있다. 또한, 이번 취약점이 중국의 APT(지능형 지속 위협) 그룹인 UNC5221과 관련이 있을 가능성이 제기되면서, 이반티 보안 장비를 사용하는 기업과 기관들은 추가적인 보안 강화 조치를 취할 필요가 있다.

제로데이(Zero-day)는 이를 해결할 보안 패치가 출시되기 전에 공격자가 먼저 악용하는 보안 문제를 의미한다. 즉, 보안 담당자들에게 대응할 시간이 '0일'이라는 뜻에서 제로데이 취약점이라 불린다. 이번 이반티의 취약점도 공격자들이 먼저 악용한 사례로, 긴급 대응이 요구된다.

쿠키 샌드위치 기법으로 인한 웹 보안 취약점

웹 보안 분야에서는 ‘쿠키 샌드위치(Cookie Sandwich)’라는 새로운 공격 기법이 발견됐다. 이 기법은 웹사이트의 보안 쿠키를 우회할 수 있는 방법으로, 공격자가 보호되어야 할 사용자 세션 정보를 유출할 수 있다.

연구자들은 웹 서버가 쿠키를 해석하는 방식에서 취약점이 존재함을 발견했다. 일부 웹 서버는 오래된 쿠키 처리 방식(RFC2109)과 최신 방식(RFC6265)을 동시에 지원하고 있으며, 이를 악용하면 쿠키를 잘못 해석할 수 있다.

이 공격 기법은 사용자의 세션이 만료되지 않은 것처럼 위장하거나, 특정 쿠키를 변조하여 접근 권한을 탈취하는 방식으로 활용될 수 있다. 이를 방지하기 위해 웹사이트 운영자들은 쿠키 해석 방식을 점검하고, 최신 보안 표준을 준수해야 한다.

또한, 최신 브라우저 보안 기능을 활용해 SameSite 속성을 활성화하는 등 보안을 강화하는 것이 필요하다. 기업과 웹사이트 운영자들은 이러한 취약점을 신속히 점검하고 보완해야 한다.

CISA 정보 공유 및 협력 프로세스.(사진:CISA)
CISA 정보 공유 및 협력 프로세스.(사진:CISA)

CISA, AI 보안 협력 플레이북 발표

AI 기술의 발전으로 사이버 보안 위협이 점차 복잡해지고 있다. 이를 대응하기 위해 미국 사이버보안 인프라 보호국(CISA)은 AI 관련 사이버 보안 사건과 취약점에 대응할 수 있는 협력 가이드라인을 발표했다.

이 가이드라인은 ‘AI 사이버 보안 협력 플레이북(AI Cybersecurity Collaboration Playbook)’으로 명명되었으며, AI 보안 위협에 대한 정보 공유를 활성화하고 공공과 민간 부문 간 협력을 촉진하는 것을 목표로 한다.

CISA는 AI 제공업체, 개발자, 도입 기업 등이 자발적으로 보안 정보를 공유할 수 있는 체계를 마련했으며, 이를 통해 사이버 위협에 대한 공동 대응 역량을 강화하고자 한다.

이번 가이드라인은 법적 의무나 규제를 부과하는 것이 아니라 모든 조치가 자발적으로 이루어질 것이라고 강조했다. AI 보안 위협이 지속적으로 진화하는 만큼, 정부와 민간, 국제 파트너 간 협력을 통해 정보 공유와 대응 체계를 강화할 필요가 있다.

키워드

#보안 #사이버보안
저작권자 © 애플경제 무단전재 및 재배포 금지