CVE-2026-0300 대응: Palo Alto PAN-OS 방화벽 관리자가 지금 해야 할 일

‘제한적 악용’이라는 표현이 안전하다는 뜻은 아닙니다. Center for Internet Security는 비신뢰 IP 주소 또는 공용 인터넷에 노출된 User-ID Authentication Portal이 공격 대상이 됐다고 설명했고, 민감한 포털을 신뢰된 내부 네트워크로 제한한 고객은 위험이 크게 낮아진다고 밝혔습니다 . Unit 42 역시 포털이 공용 인터넷이나 비신뢰 네트워크에 노출돼 있으면 인증 없는 원격 코드 실행 위험이 크게 높아진다고 설명했습니다 .

먼저 점검할 시스템

우선 PAN-OS에서 User-ID Authentication Portal/Captive Portal이 활성화된 Palo Alto Networks PA-Series 및 VM-Series 방화벽부터 확인해야 합니다 . 공개 보도에 따르면 이 포털이 인터넷 또는 비신뢰 네트워크에서 접근 가능하도록 설정된 경우 CVSS 점수는 9.3이며, 신뢰된 내부 IP 주소로만 제한된 경우에는 8.7로 낮아집니다 . 다만 점수가 낮아진다고 해결된 것은 아닙니다. 내부망으로 제한된 장비도 벤더가 권고하는 업데이트 경로를 따라야 합니다 .

범위를 좁힐 때는 제외 대상도 확인할 필요가 있습니다. Unit 42는 Prisma Access, Cloud NGFW, Panorama 어플라이언스는 이 취약점의 영향을 받지 않는다고 밝혔습니다 . 그렇더라도 PA-Series와 VM-Series 방화벽, 특히 Captive Portal이 비신뢰 IP 주소에 노출된 환경에 대한 감사는 생략해서는 안 됩니다 .

PAN-OS 관리자용 즉시 조치 순서

1. User-ID Authentication Portal 사용 현황을 전수 확인

PAN-OS 방화벽 자산을 확인하고, 어떤 PA-Series 및 VM-Series 장비에서 User-ID Authentication Portal/Captive Portal이 활성화돼 있는지 식별합니다 . 각 장비에 대해 포털이 인터넷에서 접근 가능한지, 비신뢰 네트워크에서 접근 가능한지, 아니면 신뢰된 내부 IP 범위에서만 접근 가능한지를 구분해야 합니다. 공용 인터넷 또는 비신뢰 네트워크에서 접근 가능한 경우를 최우선 위험으로 다뤄야 합니다 .

2. 포털 접근을 제한하거나 비활성화

User-ID Authentication Portal은 신뢰된 내부 네트워크에서만 접근 가능하도록 제한해야 합니다. 이를 확실히 보장하기 어렵다면 장비가 보완될 때까지 포털 접근을 비활성화하는 것이 안전합니다. 싱가포르 사이버보안청은 영향을 받는 버전의 사용자와 관리자가 보안 업데이트가 제공될 때까지 포털 접근을 제한하거나 비활성화하라고 권고했습니다 .

3. 패치는 Palo Alto 공식 권고문을 기준으로 적용

분기별 고정 버전 정보는 시간이 지나며 바뀔 수 있으므로, 복사된 제3자 버전 표를 최종 기준으로 삼지 않는 편이 안전합니다. CERT-EU는 패치가 제공되는 즉시 영향을 받는 장비를 업데이트하고, 그 전에는 우회 조치와 완화 조치를 적용하라고 권고했습니다 . 현재 사용하는 PAN-OS 브랜치의 영향 버전과 수정 버전은 Palo Alto Networks의 CVE-2026-0300 공식 권고문을 기준으로 확인해야 합니다 .

4. 패치 후에도 노출 통제를 다시 검증

소프트웨어 업데이트만으로 배치 위험이 모두 사라졌다고 가정해서는 안 됩니다. 패치 후에도 User-ID Authentication Portal이 공용 인터넷이나 비신뢰 네트워크에서 접근 가능한지 다시 확인해야 합니다. 민감한 포털을 신뢰된 내부 네트워크로 제한하는 구성은 위험을 크게 줄이는 모범 사례로 설명돼 있습니다 .

5. 노출됐던 방화벽은 침해 여부를 확인

비신뢰 네트워크에 포털이 노출됐던 영향을 받는 방화벽은 정상 신뢰 상태로 되돌리기 전에 침해 평가가 필요합니다. 로그를 보존하고, 포털 트래픽을 검토하며, 예상치 못한 설정 변경과 후속 행위를 확인해야 합니다. 이유는 명확합니다. 성공적인 악용은 방화벽에서 인증 없는 root 수준 코드 실행으로 이어질 수 있습니다 .

미국 연방기관은 KEV 기반 긴급 사안으로 처리

CISA KEV 절차의 적용을 받는 미국 연방 조직이라면, CVE-2026-0300은 단순한 벤더 권고가 아닙니다. 캐나다 사이버보안센터는 CISA가 2026년 5월 6일 이 취약점을 KEV 목록에 추가했다고 보고했으며 , 현재 보도는 연방기관이 BOD 22-01에 따라 KEV 등재 취약점을 조치해야 한다고 설명합니다 .

해당 조직은 자산 식별, 포털 제한 또는 비활성화, 패치 상태, 수정된 PAN-OS 버전 검증, 비신뢰 네트워크 경로 제거 확인, 노출된 방화벽의 침해 평가까지 증적을 남겨야 합니다. 미국 연방 절차의 직접 적용 대상이 아닌 조직도 이 취약점을 운영상 긴급 등급으로 다루는 것이 현실적인 대응입니다.

당장 패치할 수 없다면

영향받는 배포 환경에 맞는 수정 릴리스가 제공되고 설치될 때까지 완화 조치를 유지해야 합니다. 업무상 Captive Portal을 끌 수 없다면 신뢰된 내부 IP 범위로만 접근을 제한하고 면밀히 모니터링해야 합니다. 패치도, 안정적인 접근 제한도 불가능하다면 방화벽을 비신뢰 접근 경로에서 격리하거나 노출된 서비스를 제거해야 합니다. 남는 위험은 네트워크에서 접근 가능하고, 인증이 필요 없으며, 자동화 가능하고, 이미 악용 보고가 있는 취약점이라는 점입니다 .

피해야 할 실수

• 포털이 인터넷 또는 비신뢰 네트워크에 노출돼 있는데도 정기 점검 일정을 기다리지 마십시오. 공개 권고들이 지목한 최고위험 구성이 바로 이 경우입니다 .
• 내부망 전용 제한을 영구 해결책으로 착각하지 마십시오. 위험은 낮아지지만, 영향을 받는 장비는 여전히 적절한 PAN-OS 보완 경로를 따라야 합니다 .
• 제3자 고정 버전 목록을 최종 기준으로 삼지 마십시오. 현재 벤더 상태와 버전 안내는 Palo Alto Networks 공식 권고문을 기준으로 확인해야 합니다 .
• 노출됐던 방화벽에서 패치만 하고 끝내지 마십시오. 이 결함은 root 권한 코드 실행을 허용할 수 있으므로 침해 여부 검토가 필요합니다 .

최소 안전선은 분명합니다. User-ID Authentication Portal의 비신뢰 접근을 제거하고, Palo Alto 공식 권고문에 따라 패치하며, 노출됐던 방화벽은 정상 운영으로 되돌리기 전에 침해 여부를 확인해야 합니다 .