
CVE-2026-24061은 CVSS 9.8 (Critical) 등급의 고위험 취약점으로, GNU Inetutils의 telnetd 서비스에서 발생하는 원격 인증 우회(Authentication Bypass) 문제다. 이 취약점은 telnetd가 Telnet 접속 시 전달되는 USER 환경 변수 값을 신뢰하고 검증 없이 처리하는 구조에서 발생한다. 공격자는 이를 악용해 인증 절차를 완전히 건너뛰고 root 권한을 획득할 수 있다.
이번 글에서는 CVE-2026-24061의 동작 원리와 실제 악용 방식, 그리고 Criminal IP 데이터를 기반으로 한 인터넷 노출 현황을 함께 살펴보겠다.
취약점 개요와 핵심 원인 분석

telnetd는 원격 클라이언트가 Telnet으로 접속할 경우, 내부적으로 /bin/login을 호출해 사용자 인증을 수행한다. 이 과정에서 로그인에 사용되는 사용자 이름은 환경 변수 USER 값을 기반으로 전달된다.
이 USER 값은 별도의 검증 없이 그대로 /bin/login 실행 인자로 전달된다.

문제는 USER 값에 대해 옵션 인젝션(option injection)을 방지하기 위한 검증 로직이 존재하지 않는다는 점이다. 공격자가 USER 환경 변수에 일반적인 사용자명이 아닌 -f root와 같은 값을 전달할 경우, 해당 값은 사용자명이 아닌 /bin/login의 실행 옵션으로 해석되어 처리된다.
핵심 원인: /bin/login -f 옵션 오용
/bin/login에서 사용하는 -f 옵션은 이미 인증된 사용자로 간주하고 비밀번호 검증을 생략하도록 설계된 기능이다. 즉, -f root가 전달되면 /bin/login은 root 사용자를 이미 인증된 상태로 처리하며, 패스워드 확인 없이 바로 로그인 절차를 완료한다.
telnetd는 이를 사용자 입력이 아닌 정상적인 로그인 요청으로 인식하고, 결과적으로 root 권한 쉘을 그대로 제공하게 된다.
취약점 악용 시나리오 및 영향
공격자는 Telnet 접속 시 다음과 같이 USER 환경 변수에 옵션 값을 직접 주입할 수 있다.

USER=”-f root” telnet -a 127.0.0.1 XXXX
이로 인해 비밀번호 인증 과정이 완전히 생략되고, 공격자는 즉시 root 사용자로 로그인하여 root 권한 쉘을 획득할 수 있다.

이후 공격자는 /etc/passwd와 같은 핵심 시스템 파일에 제한 없이 접근할 수 있으며, 시스템 계정 탈취, 백도어 설치, 추가 공격 거점 확보로 이어질 수 있다.
영향 범위
- GNU Inetutils telnetd
1.9.3 ≤ 버전 ≤ 2.7
해당 범위의 버전을 사용하는 시스템이 외부에서 Telnet 접근 가능한 상태라면, 실질적으로 완전한 시스템 장악 위험에 노출된다.
Criminal IP를 통해 관측된 실제 노출 현황
취약점의 실제 위험성은 PoC 존재 여부보다, 해당 서비스가 인터넷에 얼마나 노출되어 있는지에 의해 결정된다.
이를 확인하기 위해 Criminal IP Asset Search에서 다음과 같은 검색 쿼리를 적용했다.
Criminal IP 검색 쿼리: product:telnetd

2026년 2월 3일 기준으로 87,440건의 자산이 검색된다. 이는 Telnet 기반 관리 인터페이스가 여전히 전 세계 다양한 지역에서 외부 네트워크에 광범위하게 노출된 상태로 운영되고 있음을 보여준다.

검색된 자산 중 하나를 살펴보니, 해당 자산은 Telnet 서비스가 외부에 직접 노출된 상태이며, 로그인 배너를 통해 제품 및 벤더 정보가 그대로 노출되어 있다. 이로 인해 공격자는 취약한 서비스 여부를 사전 탐색 단계에서 손쉽게 식별할 수 있다.
이러한 자산이 취약한 telnetd 버전을 사용 중일 경우, CVE-2026-24061은 즉시 악용 가능한 상태가 된다.
대응 및 권고 사항
- Telnet 서비스 즉시 비활성화
- 불가피한 경우:
- telnetd 최신 버전 패치 적용
- 외부 접근 차단 (방화벽 / ACL)
- SSH 등 보안 프로토콜로 전환
- Criminal IP Asset Search를 활용한
- 외부 노출 자산 선제 점검
- 레거시 관리 인터페이스 식별
FAQ
Q1. Telnet 서비스를 내부에서만 사용 중인데도 위험한가요?
내부 서비스라도 설정 오류, 방화벽 정책 변경, 테스트 환경 노출 등으로 외부 접근이 가능해질 수 있으므로 사전 점검이 필요합니다.
Q2. 패치만 적용하면 충분한가요?
패치와 함께 외부 노출 여부 점검이 병행되지 않으면 동일한 위험이 반복될 수 있습니다.
결론
CVE-2026-24061은 단순한 구현 오류가 아니라, Telnet과 같은 레거시 관리 서비스가 외부에 노출될 경우 인증 우회 취약점이 즉시 시스템 장악으로 이어질 수 있음을 보여주는 사례다.
따라서 대응의 핵심은 패치 여부보다도, 외부에 노출된 자산을 선제적으로 식별하고 레거시 관리 인터페이스를 관리·통제하는 데 있다.
관련하여 Clawdbot / Moltbot: 자율형 AI 에이전트 노출 위험에 대한 보안 분석 글을 참고할 수 있다.
Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.

데이터 출처 : Criminal IP (https://www.criminalip.io/ko), GitHub(https://github.com/h3athen/CVE-2026-24061)
관련 글 : https://www.criminalip.io/ko/knowledge-hub/blog/32432
