긴급: 팔로알토 VPN 인증 우회 취약점, 오늘까지 패치 필수 – CISA 긴급 지시

이 공격은 사용자 상호작용이나 대상 시스템에 대한 사전 권한이 전혀 필요하지 않습니다. 낮은 복잡성으로 네트워크를 통해 악용될 수 있다는 점이 이 취약점이 궁극적으로 '치명적' 수준의 위협으로 평가받는 이유입니다 .

'중간'에서 '치명적'으로 급변한 위험 등급

팔로알토 네트웍스가 2026년 5월 13일에 최초 권고문을 발표했을 당시, CVE-2026-0257은 CVSS 7.8점의 '중간(Medium)' 등급 취약점으로 분류되었습니다 . 많은 보안 뉴스 매체에서는 여전히 이 초기 등급을 기준으로 보도하는 경우가 많습니다.

하지만 미국 국립취약점데이터베이스(NVD)의 재분석 결과에 따라 상황은 급변했습니다. 2026년 5월 29일부로 NVD가 정보를 보강하면서, 공신력 있는 정부 기관의 평가 점수는 CVSS v3.1 기준 9.1점의 '치명적(Critical)' 등급으로 상향 조정되었습니다 . 싱가포르 사이버 보안청(CSA)과 여러 CVE 피드 역시 현재 이 9.1점의 치명적 등급을 반영하고 있습니다 . 제조사 최초 평가와 정부 기관의 최종 평가 사이에 발생한 이 등급 차이가, 많은 조직들이 악용 초기 대응 기간 동안 패치를 미루게 만든 핵심적인 원인입니다.

공격 발생 타임라인: Vultr IP에서 시작된 두 차례의 공격

취약점 공개부터 실제 악용까지의 시간은 극도로 짧았습니다. 보안 업체 래피드7(Rapid7)의 관리형 탐지 및 대응(MDR) 팀은 권고문 발표 나흘 뒤인 5월 17일에 최초의 성공적인 악용 행위를 관찰했습니다 . 5월 29일이 되자, CISA는 이 취약점을 자사의 '알려진 악용 취약점(KEV)' 목록에 추가하고, 미국 연방 정부 기관에 2026년 6월 1일까지 의무적으로 조치를 완료하라는 시한을 설정했습니다 .

두 차례의 뚜렷한 공격 웨이브가 확인되었습니다. 첫 번째는 5월 17-18일에 Vultr가 호스팅하는 인프라에서 시작되었고, 두 번째는 5월 21일에 Dromatics Systems 인프라에서 이어졌습니다 . 공격 분석 결과, 두 웨이브 모두에서 동일한 MAC 주소가 일관되게 사용되어 단일 공격 그룹이 배후에 있을 가능성을 시사합니다 . 관찰된 모든 사례에서, 공격자들은 위조된 인증 오버라이드 쿠키를 사용하여 침해된 장치의 로컬 관리자 계정을 직접 노렸습니다 .

중요한 점은, 래피드7이 관리하는 10곳의 MDR 고객사 중 8곳에서 성공적인 VPN 연결이 확인되었음에도 불구하고, 아직까지 침해된 장치에서의 성공적인 측면 이동(해커가 내부 네트워크의 다른 시스템으로 이동하는 행위) 징후는 관찰되지 않았다는 것입니다 . 이는 방어자가 공격자가 네트워크 깊숙이 침투하기 전에 위협을 탐지하고 봉쇄할 수 있는 짧지만 결정적인 시간이 아직 남아 있음을 의미합니다.

공개된 PoC 및 영향받는 제품

공격 위험을 더욱 높이는 것은 공격 코드가 공개되어 있다는 점입니다. 다수의 보안 보고서는 적어도 한 개, 가능성은 여러 개의 개념 증명(PoC) 익스플로잇이 공개 저장소에 존재하여, 추가 공격의 진입 장벽을 낮추고 있음을 확인했습니다 .

영향을 받는 제품 역시 명확히 정의되어 있습니다. 해당 취약점은 PA-시리즈 및 VM-시리즈 방화벽의 PAN-OS 버전 10.2, 11.1, 11.2, 12.1과 프리즈마 액세스(Prisma Access) 에 영향을 미칩니다 . 두 가지 주요 제품군은 명시적으로 영향받지 않습니다. 바로 파노라마(Panorama) 관리 어플라이언스와 클라우드 NGFW(차세대 방화벽) 배포 환경입니다 .

긴급 완화 및 해결 조치

팔로알토 네트웍스는 지원되는 모든 펌웨어 버전에 대한 패치를 출시했습니다. 패치가 적용된 소프트웨어는 위조된 쿠키를 근본적으로 거부하는 방식으로 취약점을 해결합니다 .

가장 포괄적인 완화 전략은 다음 네 가지 즉각적인 조치로 구성됩니다.

첫째, 사용 중인 PAN-OS 브랜치를 최신 패치 버전으로 업그레이드하십시오. PAN-OS 12.1의 해결 버전은 12.1.4-h6 및 12.1.7을 포함하며, 11.2의 경우 11.2.4-h17, 11.2.7-h14, 11.2.10-h7, 11.2.12 버전 등이 이에 해당합니다. 11.1 및 10.2 버전에 대해서도 이에 상응하는 해결 버전이 존재합니다 . 프리즈마 액세스 역시 마찬가지로 패치된 버전으로 업데이트해야 합니다.

둘째, 인증 오버라이드 쿠키가 비즈니스 운영에 절대적으로 필수적인 것이 아니라면, 해당 기능 자체를 비활성화하십시오. 이는 단순히 공격 경로만 막는 것이 아니라, 취약점의 사전 조건을 근본적으로 제거하는 조치입니다 .

셋째, 인증서 배포 설정을 재구성하십시오. HTTPS 관리 인터페이스와 글로벌프로텍트 쿠키 암호화에 절대 동일한 인증서를 재사용해서는 안 됩니다. 쿠키 암호화에 전용 인증서를 사용하면, 위조 가능한 쿠키가 생성될 수 있는 메커니즘을 원천 차단할 수 있습니다 .

넷째, 지금 즉시 활동적인 로그 감사를 시작하십시오. 비정상적인 세션 생성 이벤트, 낯선 IP(특히 Vultr ASN과 같은 알려진 공격자 인프라)로부터의 연결 시도, 예상치 못한 인증 오버라이드 쿠키 사용 흔적을 찾아야 합니다 . 아직 측면 이동이 확인되지 않은 상황에서, 로그 감사는 현재 침해가 이미 발생했는지 식별할 수 있는 최선의 도구입니다.

CISA가 제시한 6월 1일의 기한은 바로 오늘입니다. 아직 이 패치를 적용하지 않은 조직은, 이제 확실히 악용되고 있는 심각한 수준의 보안 노출 상태로 운영되고 있는 셈입니다. 사전 조치가 아닌 포렌식 조사의 대상이 되기까지, 시간이 얼마 남지 않았습니다.