문의하기
블로그

사이버 보안 티타임: 2026년 2월 글로벌 이슈 한 모금

이번 글에서는 2026년 2월에 보고된 주요 보안 이슈 세 가지를 중심으로, 각 사례가 보여주는 공격 패턴과 운영 환경에서의 실제 위험 요소를 정리하고 Criminal IP의 인사이트를 전달한다.

2026년 2월의 주요 사이버 보안 이슈들을 살펴보면, 조직 운영에 필수적인 인프라가 공격자의 주요 표적이 되고 있음을 확인할 수 있다. 네트워크 연결을 담당하는 SD-WAN 장비, 모바일 단말 관리 서버(MDM), 그리고 파일 전송 서버까지, 이번 달 이슈의 중심에는 기업 운영을 직접 지탱하는 시스템들이 자리하고 있었다. 이러한 시스템은 내부 운영을 전제로 설계되지만, 실제 환경에서는 관리 편의성과 원격 운영 요구로 인해 공용 인터넷에 노출되는 사례가 반복적으로 발생한다. 이 접점이 공격자에게 노출되는 순간, 단일 취약점은 단순한 소프트웨어 오류를 넘어 조직 내부로 이어지는 침투 경로가 될 수 있다.

이번 글에서는 2026년 2월에 보고된 주요 보안 이슈 세 가지를 중심으로, 각 사례가 보여주는 공격 패턴과 운영 환경에서의 실제 위험 요소를 정리한다. 또한 Criminal IP를 활용해 확인한 노출 자산 현황, 사례별 보안 인사이트를 함께 정리함으로써, 현실적인 위험 판단 기준을 전달하고자 한다.

1. Cisco SD-WAN: 경계를 무너뜨리는 제로데이 (CVE-2026-20127)

요약

2월의 가장 파급력이 컸던 이슈 중 하나는 Cisco SD-WAN 솔루션에서 발견된 제로데이 취약점(CVE-2026-20127, CVSS 9.8)이다. SD-WAN은 원격 지점과 본사 네트워크를 연결하는 현대 기업 인프라의 핵심이다. 이번 취약점은 vManage 관리 콘솔의 명령 주입(Command Injection) 결함으로, 인증되지 않은 공격자가 원격에서 시스템 권한을 획득하고 네트워크 전체의 트래픽 흐름을 조작하거나 가로챌 수 있는 위험성을 내포하고 있다. CISA는 발견 직후 이를 KEV 카탈로그에 등재하며 긴급 대응을 촉구하였다.

이 취약점의 무서운 점은 공격자가 개별 서버 한 대를 장악하는 데 그치지 않고 기업 전체의 ‘네트워크 신경망’을 통제하게 된다는 것이다. SD-WAN 관리 권한이 탈취되면 공격자는 지사 간 트래픽을 가로채거나, 보안 정책을 무력화하여 내부망 깊숙이 침투하는 통로를 자유자재로 생성할 수 있다.

인터넷에서 접속 가능한 Cisco 자산 분석 결과 

Criminal IP Asset Search를 통해 HTTPS 기반 Cisco 자산을 검색한 결과 이미지

Criminal IP 검색 쿼리: service:https AND product:Cisco 

Cisco 장비 및 서비스는 다양한 네트워크 인프라 환경에서 사용되며, 관리 인터페이스나 서비스 포털이 HTTPS 기반으로 운영되는 경우가 많다. 위 쿼리는 HTTPS 서비스를 제공하는 Cisco 관련 자산에 대한 결과로 17,976개의 인스턴스가 노출된 것으로 확인되었다. 이러한 검색 결과는 특정 제품이나 취약점에 한정된 것이 아니라, 외부에서 직접 접근 가능한 Cisco 인프라 자산의 존재 여부를 확인하는 데 목적이 있다. 특히 SD-WAN과 같은 네트워크 제어 장비의 관리 인터페이스가 인터넷에서 식별되는 경우, 취약점 존재 여부와 관계없이 공격자가 초기 접근 지점을 탐색할 가능성이 높아진다.

Criminal IP 인사이트

이번 Cisco SD-WAN 솔루션에서 발견된 제로데이와 같은 취약점에 노출되고 장악당하게 된다면, 사실상 기업 네트워크 보안의 ‘출입문 열쇠’를 공격자에게 넘겨주는 것과 다름없다. SD-WAN 장비는 조직 전체 네트워크 정책과 연결 흐름을 제어하는 관리 평면에 위치하기 때문에, 단일 장비 침해가 곧 내부 네트워크 전반으로 이어질 가능성이 높다.

위의 Criminal IP Asset Search 결과와 같이 관련 자산 인스턴스가 외부에서 식별된다는 것 자체가 잠재적인 1차 침투 경로가 존재함을 의미한다. 실제 운영 환경에서는 이러한 관리 인터페이스가 조직 내부에서 인지되지 않은 채 외부에 노출되는 사례가 반복적으로 관측된다. 따라서 취약점 대응의 출발점은 단순한 패치 적용이 아니라, 기업 자산이 외부에서 어떻게 식별되고 있는지를 먼저 확인하는 가시성 확보이다. 외부에서 접근 가능한 관리 접점을 조기에 식별하고 차단하는 것이, SD-WAN과 같은 핵심 인프라에 대한 침해 가능성을 근본적으로 줄이는 가장 현실적인 대응 전략이라 할 수 있다.

2. Ivanti EPMM: Pre-Auth 취약점 악용 확산 (CVE-2026-1281 / CVE-2026-1340)

요약

Ivanti의 Endpoint Manager Mobile(EPMM)에서 코드 인젝션 기반 취약점 CVE-2026-1281 및 CVE-2026-1340이 공개됐고, 특히 CVE-2026-1281은 공개 직후부터 대규모 자동화 스캐닝 및 실제 악용이 관측됐다. 이번 이슈에서 특히 주목할 점은 ‘초기 침투 브로커(IAB)’의 움직임이다. 이들은 취약한 서버를 찾아 즉시 데이터를 탈취하는 대신 ‘슬리퍼(Sleeper)’ 웹쉘이라 불리는 잠복형 악성 코드를 메모리에 심어두는 방식으로 접근 권한을 확보하고 있다.

이러한 방식은 즉각적인 공격보다 장기간 탐지되지 않는 접근 권한을 확보하는 데 목적이 있다. 공격자는 이후 다른 위협 행위자에게 접근 권한을 판매하거나, 후속 공격을 위한 발판으로 해당 시스템을 활용할 수 있다. 실제 관측된 공격에서도 악성 코드가 즉시 실행되는 것이 아니라 특정 조건이나 트리거가 발생했을 때 활성화되는 형태가 확인되었다.

Ivanti 관련 노출 자산 분석 결과

Criminal IP Asset Search를 통해 Ivanti 관련 자산을 검색한 결과 이미지

Criminal IP 검색 쿼리: title: Ivanti

Criminal IP Asset Search로 Ivanti 관련 노출 자산을 검색한 결과 총 190,275건의 인스턴스를 확인할 수 있었다. 이는 상당한 규모의 Ivanti 기반 시스템이 외부에 노출되어 공격자의 우선적인 탐색 대상이 될 가능성이 높음을 의미한다. 또한 일부 자산에서는 높은 위험도와 다수의 취약점이 함께 식별되어 즉각적인 보안 점검이 필요한 것으로 확인되었다.

Criminal IP 인사이트

Ivanti EPMM은 조직의 모바일 단말 정책과 인증 체계를 관리하는 핵심 MDM 인프라로, 관리 인터페이스가 외부에서 접근 가능한 상태로 노출될 경우 취약점 악용 위험이 크게 증가한다. 특히 이러한 관리 플랫폼은 운영 편의성이나 원격 관리 요구로 인해 의도치 않게 공용 인터넷에 노출되는 사례가 반복적으로 발생한다. 따라서 대응의 핵심은 취약점 패치뿐 아니라 외부에서 접근 가능한 관리 접점의 존재 여부를 우선적으로 점검하는 것이다. 또한 패치 이전 침해 가능성을 고려해 접근 로그 및 IOC 기반 점검을 수행하고, 필요 시 애플리케이션 서버 재시작 등을 통해 잠재적인 악성 코드 흔적을 제거하는 절차가 함께 이루어져야 한다.

3. SolarWinds Serv-U: 파일 전송 서버를 겨냥한 4종의 치명적 RCE

요약

기업의 기밀 데이터를 주고받는 SolarWinds Serv-U에서 4개의 크리티컬 RCE(원격 코드 실행) 취약점이 동시에 패치되었다.

  • CVE-2025-40538
  • CVE-2025-40539
  • CVE-2025-40540
  • CVE-2025-40541

이번 이슈의 취약점들은 공격자가 시스템 관리자 계정을 생성하거나 root 권한으로 임의 코드를 실행할 수 있는 결함들이다. 비록 공격을 위해 높은 수준의 초기 접근 권한이 필요하다는 제약이 있지만 피싱이나 자격 증명 스터핑으로 계정 하나만 탈취되면 파일 서버 전체가 공격자의 놀이터로 변하게 된다. 파일 전송 서버는 조직 내부 데이터가 외부로 이동하는 핵심 경로에 위치하기 때문에, 침해 시 단순 서비스 공격을 넘어 대규모 데이터 유출로 이어질 가능성이 높다.

Serv-U 관련 노출 자산 분석 결과

Criminal IP Asset Search를 통해 Serv-U 관련 자산을 검색한 결과 이미지

Criminal IP 검색 쿼리: product:Serv-U

위 쿼리는 Serv-U 소프트웨어가 식별되는 자산을 기준으로 인터넷 상에서 확인 가능한 Serv-U 인스턴스를 탐색하기 위한 조건이다. 확인 결과 총 263,382건의 인스턴스가 확인되었다. 이러한 결과는 Serv-U 기반 파일 전송 서버가 다양한 기업 및 조직 환경에서 광범위하게 운영되고 있음을 보여준다. 파일 전송 서버는 내부 시스템과 외부 사용자 또는 파트너 간 데이터 교환을 담당하는 경우가 많기 때문에, 인터넷에서 식별 가능한 인스턴스의 규모 자체가 잠재적인 공격 표면의 범위를 보여주는 지표로 해석할 수 있다.

다만 위 검색 결과는 Serv-U가 식별되는 전체 자산 규모를 보여주는 것이며, 실제로 외부에서 직접 접근 가능한 서비스 접점이 얼마나 존재하는지는 별도로 확인할 필요가 있다. 이를 보다 구체적으로 확인하기 위해 Serv-U 인스턴스 중 웹 기반 서비스가 외부에서 응답하는 자산을 추가적으로 분석하였다.

Criminal IP Asset Search를 통해 HTTPS 기반 Serv-U 관련 자산을 검색한 결과 이미지

Criminal IP 검색 쿼리: product:”Serv-U” AND service:https

필터를 추가하여 검색한 위 쿼리는 Serv-U 소프트웨어가 식별되는 자산 중 HTTPS 기반 서비스가 외부에서 응답하는 시스템을 탐색하기 위한 조건이다. Serv-U는 웹 기반 관리 인터페이스나 파일 전송 포털을 HTTPS로 제공하는 경우가 많기 때문에, 이 쿼리를 통해 인터넷에서 직접 접근 가능한 Serv-U 서비스 접점을 확인할 수 있다.

이를 통해서도 총 2,271건의 자산이 노출된 것을 확인할 수 있다. 이러한 결과는 Serv-U 기반 파일 전송 서버 중 일부가 공용 인터넷에서 직접 접근 가능한 형태로 운영되고 있음을 보여준다. 이러한 시스템이 취약점에 영향을 받는 버전으로 운영되고 있거나 관리 계정 보안이 취약할 경우, 단일 서비스 침해를 넘어 내부 데이터 접근 또는 추가 침투 경로로 이어질 가능성이 존재한다.

Criminal IP 인사이트

Serv-U와 같은 파일 전송 서버는 내부 시스템과 외부 파트너 간 데이터 교환을 담당하는 핵심 인프라로, 침해 시 민감 정보 유출로 이어질 가능성이 높다. 특히 이러한 서비스는 운영 편의성이나 외부 협업을 위해 인터넷에 직접 노출되는 경우가 많아 공격자에게 매력적인 표적이 된다. 따라서 Serv-U 환경에서는 최신 버전 업데이트와 함께 관리 계정 보안 강화(MFA 적용, 접근 IP 제한)가 중요하다. 또한 파일 전송 서버가 공용 인터넷에서 직접 식별 가능한 상태로 운영되고 있는지 점검하고, 불필요한 외부 접근은 최소화하는 것이 필요하다.

FAQ

Q1 왜 SD-WAN, MDM, 파일 전송 서버 같은 운영 인프라가 공격자들의 주요 표적이 되나요?

이러한 시스템은 조직의 네트워크 연결, 단말 관리, 데이터 교환을 담당하는 핵심 운영 인프라에 해당합니다. 공격자가 이러한 시스템을 장악할 경우 단일 서버 침해를 넘어 네트워크 구성 변경, 사용자 단말 제어, 내부 데이터 접근 등 조직 전반에 영향을 미칠 수 있습니다. 특히 관리 인터페이스나 제어 평면이 외부에서 접근 가능한 상태로 노출되어 있다면, 취약점 하나만으로도 높은 권한을 획득할 가능성이 크게 높아집니다. 그렇기에 공격자들은 해당 인프라들을 주요 표적으로 삼고 공격을 진행하고 있습니다.

Q2 취약점이 공개된 이후 조직은 어떤 대응을 우선적으로 수행해야 하나요?

우선 해당 취약점의 패치를 신속히 적용하는 것이 기본 대응입니다. 그러나 Ivanti EPMM 사례처럼 이미 실제 악용이 발생한 이슈의 경우, 패치 적용 이전 침해가 이루어졌을 가능성도 함께 고려해야 합니다. 따라서 패치 이후에도 접근 로그 점검, 계정 변경 여부 확인, 의심스러운 관리 접속 기록 조사 등 침해 여부를 확인하는 절차가 병행되어야 합니다. 또한 관리 인터페이스가 공용 인터넷에서 직접 접근 가능한 상태로 운영되고 있는지 점검하고, 필요 시 접근 통제나 네트워크 제한을 적용하는 것이 중요합니다.

결론

2026년 2월의 보안 이슈는 새로운 공격 기술의 등장보다 외부에 노출된 운영 인프라가 얼마나 빠르게 공격 경로로 전환될 수 있는지를 다시 보여준다. SD-WAN은 조직 네트워크의 통제 평면을 담당하고, EPMM은 모바일 단말 관리의 중심이며, Serv-U는 내부와 외부를 연결하는 데이터 전송 경로에 위치한다. 이와 같은 핵심 시스템이 외부에서 식별 가능한 상태로 존재하는 순간, 취약점은 단순한 기술적 결함을 넘어 실제 침투 시나리오로 이어질 가능성이 높아진다.

결국 보안 대응의 출발점은 단순한 패치 적용이 아니라 조직 인프라가 외부에서 어떻게 보이고 있는지에 대한 가시성 확보이다. Criminal IP ASM과 같은 공격 표면 관리 솔루션을 활용한 탐색을 통해 외부에서 식별 가능한 자산을 먼저 파악하고 관리 인터페이스 노출 여부를 지속적으로 점검하는 것이 중요하다. 이러한 가시성을 기반으로한 보안체계가 오늘날 기업 인프라를 보호하는 가장 현실적인 방어 전략이라 할 수 있다.

관련하여 사이버 보안 티타임: 2026년 1월 글로벌 이슈 한 모금 글을 참고할 수 있다.

Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.


이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

출처: Criminal IP(https://www.criminalip.io/ko), SECURITYWEEK(https://www.securityweek.com/solarwinds-patches-four-critical-serv-u-vulnerabilities/), The Hacker News (https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html), HELP NET SECURITY (https://www.helpnetsecurity.com/2026/02/11/ivanti-epmm-sleeper-webshell/)

관련 글: https://www.criminalip.io/ko/knowledge-hub/blog/32491

사이버 보안 티타임: 2026년 2월 글로벌 이슈 한 모금 | CIP Blog | Criminal IP