
2026년 3월, GNU InetUtils의 Telnet 데몬(telnetd)에서 치명적인 원격 코드 실행 취약점 CVE-2026-32746이 공개되었다. 해당 취약점은 CVSS v3.1 기준 9.8(Critical)로 평가되었으며, 인증 이전 단계에서 공격자가 원격으로 임의 코드를 실행할 수 있는 구조적 결함을 포함하고 있다. 특히 이 취약점은 로그인 프롬프트 이전, 즉 인증 절차가 시작되기 전 단계에서 트리거된다는 점에서 공격 난이도가 매우 낮다. 공격자는 단 한 번의 네트워크 연결과 조작된 메시지 전송만으로 시스템 권한을 획득할 수 있으며, 탈취된 자격 증명이나 사용자 상호작용 없이도 공격이 성립한다.
Telnet은 오래된 프로토콜이라는 이유로 종종 “이미 끝난 기술”처럼 취급되지만, 현실의 인터넷 노출 환경은 다르게 나타난다. 레거시 장비, 임베디드 시스템, 네트워크 어플라이언스, 유지보수용 관리 채널 등 다양한 운영 환경에서 Telnet은 여전히 사용되고 있으며, 이러한 서비스는 설정 미흡이나 운영상의 편의로 인해 외부에서 직접 접근 가능한 상태로 노출되는 사례가 지속적으로 관측된다. 이러한 조건에서 CVE-2026-32746과 같이 인증 이전 단계에서 즉시 악용 가능한 취약점이 공개될 경우, 단순한 서비스 취약점을 넘어 인터넷에 노출된 시스템 전체가 직접적인 공격 표면으로 전환될 수 있다.
본 글에서는 CVE-2026-32746의 기술적 원인과 공격 흐름을 분석하고, 레거시 서비스 노출이 실제 침해로 이어지는 구조를 살펴본다.
GNU InetUtils telnetd 취약점 개요

| 항목 | 내용 |
|---|---|
| 취약점 ID | CVE-2026-32746 |
| 영향 제품 | GNU InetUtils telnetd |
| 취약점 유형 | 버퍼 오버플로우 (CWE-120) |
| CVSS 점수 | 9.8 (Critical) |
| 영향 범위 | 인증 없이 원격 코드 실행 (RCE), 루트 권한 획득 |
CVE-2026-32746 취약점은 Telnet 프로토콜의 옵션 협상 과정에서 발생한다. 구체적으로는 LINEMODE SLC(Set Local Characters) 처리 로직에서 버퍼 크기 검증이 수행되지 않는 문제로 인해 ‘경계 밖 쓰기(out-of-bounds write)’가 발생한다. 이로 인해 공격자가 의도적으로 조작된 SLC 메시지를 전송할 경우, 메모리 영역이 손상되며 최종적으로 코드 실행으로 이어질 수 있다.
특히 이 취약점은 다음과 같은 구조적 문제를 포함한다:
- 인증 이전 단계에서 실행되는 프로토콜 처리 로직
- 입력 데이터 크기 검증 부재
- 서비스가 root 권한으로 실행되는 일반적인 운영 구조
이러한 조건이 결합되면서, 단순한 메모리 오류가 즉각적인 시스템 장악으로 이어지는 공격 벡터로 확장되며 루트 권한의 임의 코드 실행이 가능해진다.
공격 가능 시나리오: 한 번의 연결로 끝나는 시스템 장악
CVE-2026-32746은 매우 단순하면서도 치명적인 흐름으로 악용될 수 있다.

실제 PoC를 통해 자세히 확인해 볼 수 있다. 왼쪽 터미널은 취약한 Telnet 데몬이 실행 중인 대상 서버이며, 오른쪽 터미널은 공격자가 익스플로잇 스크립트를 통해 원격에서 명령을 실행하는 과정이다. 별도의 인증 없이 id, hostname 명령이 루트 권한으로 실행되는 것을 확인할 수 있다.
CVE-2026-32746 공격 흐름
- 노출된 Telnet 서비스 식별
공격자는 인터넷 스캐닝을 통해 TCP 23번 포트가 열려 있는 Telnet 서비스를 탐색한다. - 초기 연결 및 프로토콜 협상 단계 진입
Telnet은 연결 직후 옵션 협상 과정을 수행하며, 이 단계는 인증 이전에 실행된다. - 조작된 SLC 메시지 전송
공격자는 비정상적으로 구성된 LINEMODE SLC suboption 데이터를 전송하여 버퍼 오버플로우를 유발한다. - 원격 코드 실행 (RCE)
메모리 손상을 통해 공격자는 telnetd 프로세스 권한으로 코드 실행을 수행한다. - 루트 권한 획득 및 시스템 장악
대부분의 Telnet 서비스가 root 권한으로 실행되는 특성상, 공격자는 즉시 전체 시스템을 제어할 수 있다.
이 과정에서 중요한 점은 다음과 같다:
- 인증 정보 불필요
- 사용자 상호작용 불필요
- 단일 패킷 기반 공격 가능
즉, 공격 난이도는 낮고 영향 범위는 매우 큰 전형적인 인터넷 노출 기반 즉시 침해 취약점이다.
GNU InetUtils telnetd 노출 자산 분석
Telnet은 보안상 취약하여 SSH로 대체된 지 오래되었으나, 현실의 인터넷 환경에서는 여전히 레거시 서버, 산업 제어 시스템(ICS), IoT 장비 등 다양한 영역에서 광범위하게 사용되고 있다. 이러한 서비스는 운영 편의나 호환성 문제로 인해 외부에서 직접 접근 가능한 상태로 남아 있는 경우가 많으며, 공격자 입장에서는 여전히 유효한 초기 침투 지점으로 활용된다. 공격자는 정교한 공격을 수행하기 전 반드시 정찰 단계를 거친다. 이 과정에서 가장 먼저 수행되는 작업은 인터넷 상에서 접근 가능한 서비스 탐색이며, 특히 인증 없이 연결이 가능한 서비스는 우선적인 타겟이 된다.
Criminal IP Asset Search를 통해 자산 노출을 탐지한 결과, 전 세계적으로 이러한 조건을 만족하는 Telnet 자산이 대규모로 존재하고 있음을 확인할 수 있었다. 이번 취약점은 GNU InetUtils의 telnetd 구현체에 국한되기 때문에 보다 정밀한 자산 분석을 위해 제품명을 특정하는 탐지를 수행하였다.

Criminal IP 검색 쿼리: product: telnetd AND port: 23
이 쿼리는 단순히 Telnet 포트가 열려 있는 자산이 아니라, GNU InetUtils telnetd 기반 서비스가 실제로 인터넷에 노출된 자산을 식별하는 데 목적이 있다.
탐지 결과 2026년 3월 말 기준 Criminal IP Asset Search를 통해 약 5만 개의 세부 자산이 탐지되었다. 해당 자산들은 단순히 서비스가 활성화된 상태를 의미하는 것이 아니라, 공격자가 별도의 인증 절차 없이 직접 연결을 시도할 수 있는 접근 지점이 외부에 그대로 노출되어 있음을 의미한다. 특히 CVE-2026-32746과 같이 인증 이전 단계에서 즉시 악용 가능한 취약점이 존재하는 경우, 이러한 노출 자산은 추가적인 정찰이나 권한 획득 과정 없이 곧바로 원격 코드 실행(RCE)이 가능한 공격 대상으로 전환될 수 있다.

또한 일부 자산에서는 Telnet 서비스 이외에도 SSH(22), HTTP Server(8443) 등 추가 관리 포트가 함께 노출된 사례가 확인된다. 이러한 환경에서는 Telnet를 통한 초기 침해 이후 다른 서비스로의 확장 및 내부 시스템 접근으로 이어질 가능성이 매우 높아진다.
대응 방안 및 권고 사항
CVE-2026-32746은 인증 이전 단계에서 원격 코드 실행이 가능한 취약점으로, 서비스가 외부에서 접근 가능한 상태일 경우 즉각적인 공격으로 이어질 수 있다. 따라서 대응은 단순 패치 적용을 넘어 접근 가능성 자체를 제거하는 것을 중심으로 이루어져야 한다.
즉각적인 위험 차단 조치
- TCP 23번 포트 외부 접근 차단
Telnet 서비스는 기본적으로 인증 이전 연결이 가능하므로, 외부 네트워크에서 해당 포트로의 접근을 차단하는 것이 가장 효과적인 1차 대응이다. - Telnet 서비스 비활성화
Telnet은 평문 통신 기반의 레거시 프로토콜로, 구조적으로 보안에 취약하다. 운영상 필수적이지 않다면 서비스 자체를 제거하는 것이 권장된다. - 네트워크 접근 범위 최소화
불가피하게 운영이 필요한 경우, 내부망 또는 특정 관리 네트워크로 접근을 제한하여 공격 노출 범위를 축소해야 한다.
취약점 근본 대응 조치
- 공식 패치 적용 (GNU InetUtils 업데이트)
취약한 telnetd 버전을 최신 보안 패치 버전으로 업데이트하여 취약점이 제거된 환경으로 전환해야 한다. - 서비스 실행 권한 최소화
telnetd가 루트 권한으로 실행되는 경우 공격 성공 시 전체 시스템 장악으로 이어질 수 있으므로, 가능한 경우 권한을 제한된 계정으로 실행하도록 구성해야 한다.
장기적 보안 강화 권고
- SSH 등 안전한 프로토콜로 전환
암호화되지 않은 Telnet 대신 SSH 기반 관리 체계로 전환하는 것이 필수적이다. - 레거시 서비스 사용 현황 전수 점검
조직 내에서 운영 중인 Telnet 서비스 및 유사 레거시 프로토콜을 식별하고 단계적으로 제거해야 한다. - 외부 노출 서비스 지속 점검
Criminal IP ASM과 같은 공격 표면 관리 도구를 활용하여 의도치 않게 외부에 노출된 관리 서비스가 존재하지 않는지 주기적으로 확인해야 한다.
FAQ
Q1. CVE-2026-32746은 왜 CVSS 9.8(Critical)로 평가되었나요?
CVE-2026-32746은 네트워크를 통해 인증 없이 악용 가능한 원격 코드 실행(RCE) 취약점입니다. 특히 Telnet 프로토콜의 초기 협상 단계, 즉 로그인 이전 단계에서 트리거된다는 점에서 공격 난이도가 매우 낮기에 공격자는 단순히 TCP 23번 포트에 연결한 후 조작된 메시지를 전송하는 것만으로 코드 실행이 가능하며, 추가적인 자격 증명이나 사용자 상호작용이 필요하지 않습니다. 또한 telnetd가 높은 권한으로 실행되는 환경이 많기 때문에, 공격 성공 시 시스템 전체 장악으로 이어질 가능성이 높습니다.
이러한 특성으로 인해 공격 난이도, 영향 범위, 악용 가능성 측면에서 모두 높은 점수를 받아 CVSS 9.8(Critical)로 평가된다.
Q2. Telnet을 반드시 사용해야 하는 경우 어떻게 해야 하나요?
운영 환경상 Telnet 사용이 불가피한 경우에는 다음과 같은 보안 조치를 반드시 적용해야 합니다:
- 외부 네트워크에서의 접근 차단
- 특정 관리 네트워크 또는 IP로 접근 제한
- VPN 또는 별도의 인증 계층을 통한 간접 접근 구조 구성
- 서비스 실행 권한 최소화
- 접속 로그 및 세션 모니터링 강화
다만 Telnet은 기본적으로 암호화되지 않은 통신을 사용하는 프로토콜이기 때문에, 가능한 경우 SSH와 같은 안전한 대체 수단으로 전환하는 것이 권장됩니다.
결론
CVE-2026-32746은 단순한 버퍼 오버플로우 취약점이 아니라, 레거시 프로토콜과 인증 이전 처리 구조가 결합되었을 때 얼마나 치명적인 공격 벡터가 되는지를 보여주는 사례다. 특히 Telnet과 같이 오래된 서비스는 취약점 하나만으로도 전체 시스템 침해로 직결될 수 있는 구조를 가지고 있다. 이제 보안의 핵심은 단순히 취약점을 패치하는 것이 아니라, “왜 이 서비스가 여전히 외부에 존재하는가”를 점검하는 것에 있다. 레거시 서비스의 지속적인 사용과 외부 노출은 그 자체로 공격자에게 이미 충분한 기회를 제공하고 있다.
따라서 조직은 단순한 패치 적용에 그치지 않고, 인터넷에서 접근 가능한 서비스가 무엇인지 지속적으로 식별하고 관리하는 공격 표면 관리(ASM) 기반 보안 전략을 함께 고려해야 한다.
관련하여 CVE-2026-24061: GNU Inetutils telnetd 인증 우회 취약점 분석 글을 참고할 수 있다.
Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.

이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
출처: Criminal IP(https://search.criminalip.io/ko), NIST (https://nvd.nist.gov/vuln/detail/CVE-2026-32746), The Hacker News (https://thehackernews.com/2026/03/critical-telnetd-flaw-cve-2026-32746.html)
