문의하기
블로그

CVE-2026-0257: PAN-OS GlobalProtect 인증 우회 취약점과 외부 노출 VPN 자산 분석

본 글에서는 CVE-2026-0257의 기술적 원인과 두 차례에 걸쳐 관측된 공격 파동을 분석하고, 외부에 노출된 GlobalProtect 자산이 어떤 공격 표면을 형성하는지 Criminal IP를 통해 살펴본다.

2026년 5월 13일, Palo Alto Networks는 PAN-OS GlobalProtect 포털 및 게이트웨이 컴포넌트에서 인증 우회 취약점 CVE-2026-0257을 공개했다. 공개 4일 후인 5월 17일, 이미 실제 공격이 관측되기 시작했다. 5월 29일 공개 PoC 코드가 공개되자 공격은 급격히 확산되었으며, 같은 날 CISA가 KEV 카탈로그에 등재해 연방기관에 6월 1일까지 완화 조치를 명령했다. CVSS v3.1 기준 7.8(High)로 평가된 이 취약점은 수치가 위험도를 심각하게 과소평가하는 사례다. 비인증 원격 공격자가 GlobalProtect 포털의 TLS 인증서 공개키를 이용해 인증 우회 쿠키를 위조한 뒤, MFA를 포함한 모든 인증 통제를 완전히 우회하고 기업 내부망에 직접 VPN 접속할 수 있다. 인터넷에 노출된 GlobalProtect 포털이 있고 특정 인증서 설정 조건이 갖춰진 환경이라면 어떤 계정 정보도 없이 공격이 가능하다.

본 글에서는 CVE-2026-0257의 기술적 원인과 두 차례에 걸쳐 관측된 공격 파동을 분석하고, 외부에 노출된 GlobalProtect 자산이 어떤 공격 표면을 형성하는지 살펴본다.

CVE-2026-0257 취약점 개요

CVE-2026-0257 GlobalProtect 인증 우회 취약점 개요를 나타낸 AI 생성 이미지
항목내용
취약점 IDCVE-2026-0257
영향 제품PAN-OS GlobalProtect Portal 및 Gateway
취약점 유형인증 우회
CWECWE-565: 쿠키 검증 및 무결성 확인 미흡
CVSS 점수7.8 (High) / NVD 기준 9.1 Critical
공격 조건원격 공격 가능, 인증 불필요
영향 범위보안 제한 우회, 무단 VPN 연결 수립 가능
악용 현황제한적인 실제 악용 시도 확인

CVE-2026-0257은 GlobalProtect Portal 및 Gateway에서 인증 우회가 발생할 수 있는 취약점이다. 공격자는 취약한 구성 조건을 만족하는 장비를 대상으로 보안 제한을 우회하고, 인증되지 않은 상태에서 VPN 연결을 수립할 수 있다. 이 취약점은 GlobalProtect의 Authentication Override Cookie 기능과 관련된 구성에서 특히 문제가 된다. Authentication Override Cookie는 사용자가 인증을 완료한 이후 일정 조건에서 재인증 과정을 줄이기 위해 사용되는 기능이다. 그러나 쿠키 검증과 무결성 확인이 충분하지 않거나, 인증 쿠키에 사용되는 인증서 구성이 부적절한 경우 공격자가 이를 악용해 정상 인증 흐름을 우회할 수 있다.

특히 VPN은 내부 네트워크 접근을 위한 핵심 관문이다. 따라서 인증 우회를 통해 VPN 연결이 가능해질 경우, 공격자는 외부 사용자처럼 보이지만 실제로는 인증되지 않은 상태에서 내부 네트워크 접근 기회를 확보할 수 있다. 이는 단순 웹 취약점보다 훨씬 큰 위험을 가진다.

CVE-2026-0257은 GlobalProtect의 “인증 우회 쿠키(authentication override cookie)” 기능에서 발생하는 설계 결함이다. 이 기능의 정상 동작 방식과 결함이 어디에 있는지를 이해하는 것이 핵심이다.

인증 우회 쿠키의 정상 목적

GlobalProtect는 사용자가 최초 인증에 성공하면 암호화된 쿠키를 발급한다. 이후 사용자는 이 쿠키를 제시해 MFA나 복잡한 인증 절차 없이 다시 VPN에 연결할 수 있다. 대용량 원격 접속 환경에서 사용자 경험을 향상시키기 위한 기능이다.

결함: 동일 인증서 재사용으로 인한 공개키 노출

문제는 이 쿠키의 암호화·복호화에 사용되는 인증서가 GlobalProtect 포털·게이트웨이의 HTTPS 서비스 인증서와 동일할 때 발생한다. HTTPS 서비스의 공개키는 TLS 핸드셰이크 과정에서 누구나 확인할 수 있다. 공격자는 GlobalProtect 포털에 HTTPS 연결을 시도해 인증서 체인을 수집하고, 각 인증서의 공개키를 이용해 위조 인증 우회 쿠키를 생성한다. 결정적 결함은 서버가 쿠키를 복호화할 때 무결성 서명 검증을 수행하지 않는다는 점이다. 서버는 올바른 키로 복호화된 쿠키라면 그 내용을 신뢰하며, 위조 쿠키도 동일하게 처리한다. 공격자는 쿠키 내에 원하는 사용자명(관리자 계정 포함)을 삽입할 수 있으며, 서버는 이를 정상 인증된 세션으로 받아들여 VPN 연결을 허용한다.

이 공격은 패스워드 탈취, MFA 우회, 코드 실행이 전혀 필요 없다. 인터넷을 통해 GlobalProtect 포털에 접근 가능하고 공개 PoC가 등장한 이후에는 공격 절차가 자동화되기 쉬워졌으며, 취약한 구성의 GlobalProtect Portal은 단기간에 대규모 스캐닝 대상이 될 수 있다.

공격 파동: 제한적 탐지에서 대규모 확산까지

GlobalProtect 인증 우회 취약점의 공격 파동을 나타낸 AI 생성 이미지

관측된 실제 공격들은 크게 두 단계로 전개되었다.

1차 파동 (2026.05.17~05.21): PoC 공개 이전, 은밀한 표적 공격

최초 공격은 취약점 공개(5/13) 불과 4일 후인 5월 17일부터 시작되었다. PoC 코드가 아직 공개되지 않은 이 시기의 공격은 이미 기술적 원리를 파악한 행위자가 수행한 것으로 평가된다. 5월 21일 동일한 MAC 주소를 사용한 두 번째 소규모 파동이 관측되었으며, 이는 동일 위협 행위자에 의한 것으로 분석된다. 2차 파동에서는 쿠키 인증 이후 VPN IP가 할당되어 내부망 접근이 성공한 사례가 확인되었다.

2차 파동 (2026.05.30~): PoC 공개 후 대규모 자동화 확산

5월 29일 PoC 코드가 공개되자 이튿날부터 공격이 급증했다. 이 시기의 공격은 VPS 호스팅 인프라를 출처로 하는 자동화된 탐색으로 시작되었고, 일부 인트루전에서는 IPSec 터널 수립 직후 Impacket 도구를 사용한 내부 SMB·NTLM 정찰이 관측되었다. 이는 초기 액세스 확보 후 즉각적인 내부망 확산을 시도하는 패턴으로, 랜섬웨어 그룹과 연계된 위협 행위자의 특성을 보인다. 주목할 점은 쿠키 인증이 수락되었지만 완전한 VPN 세션(VPN IP 할당)이 성립되지 않은 경우가 피해 환경의 80%에 달했다는 점이다. 이는 공격자가 탐색에는 성공했으나 최종 내부망 진입에는 일부만 성공했음을 의미하며, 로그에서 쿠키 인증 수락 이벤트만 보이더라도 공격 시도로 간주하고 대응해야 한다.

Criminal IP를 통해 관측 가능한 외부 노출 GlobalProtect Portal 자산

CVE-2026-0257의 실제 위험성을 판단하기 위해서는 단순히 취약점 존재 여부만 확인해서는 충분하지 않다. GlobalProtect Portal 또는 Gateway가 공용 인터넷에서 식별 가능한 상태인지 확인해야 한다. Criminal IP Asset Search에서는 HTML title 기반 검색 조건을 활용해 외부에 노출된 GlobalProtect Portal 자산을 관측할 수 있다.

Criminal IP Asset Search에서 title: GlobalProtect Portal을 검색한 결과

Criminal IP 검색 쿼리: title: GlobalProtect Portal

해당 쿼리는 HTML title 값에 GlobalProtect Portal 문자열이 포함된 자산을 식별하는 데 활용된다. 이는 외부에서 접근 가능한 웹 인터페이스가 GlobalProtect Portal로 식별될 수 있음을 의미한다. Criminal IP Asset Search를 통해 약 160,000개의 자산이 탐지되었다. GlobalProtect Portal은 VPN 사용자가 내부 네트워크에 접근하기 위해 접속하는 주요 진입점이므로, 공용 인터넷에서 식별 가능한 상태라면 공격자의 자동화된 스캐닝 및 취약점 검증 대상이 될 가능성이 높다.

특히 CVE-2026-0257은 공격자가 인증 없이 보안 제한을 우회하고 VPN 연결을 수립할 수 있는 취약점이다. 따라서 GlobalProtect Portal이 외부에 노출되어 있다는 사실 자체가 중요한 위험 판단 기준이 된다. 조직은 단순히 PAN-OS 버전만 확인하는 것이 아니라, 실제로 어떤 GlobalProtect Portal이 인터넷에서 발견 가능한 상태인지 우선 확인해야 한다.

외부 노출 GlobalProtect Portal 개별 자산 분석

Criminal IP Asset Search에서 확인된 외부 노출 GlobalProtect Portal 개별 자산 분석 결과

위 쿼리를 통해 확인된 외부 노출 GlobalProtect Portal 자산 중 하나를 상세 확인한 결과, 해당 IP 주소는 Criminal IP 분석을 통해 위험도가 높은 것으로 탐지되었다. 해당 자산은 미국에 위치하고 있는 것으로 탐지되었으며 보안 항목에서 9개의 오픈 포트, 2개의 취약점이 함께 발견되었다. TCP 4646, 12292, 12293, 12294, 12295, 12296, 12297, 12298, 12299 포트가 외부에 열려 있었다. 이 중 일부 포트에는 취약점 표시가 확인되어, 단순히 VPN 포털만 노출된 것이 아니라 추가적인 서비스 노출 가능성도 함께 존재하는 자산으로 해석할 수 있다.

위 자산과 같은 사례는 CVE-2026-0257 대응에서 단순히 “GlobalProtect Portal이 노출되어 있는가”만 확인해서는 충분하지 않음을 보여준다. 외부 노출 여부와 함께 오픈 포트, 연관 취약점, SSL 인증서 상태를 함께 분석해야 실제 공격 가능성에 가까운 우선순위를 설정할 수 있다. 특히 GlobalProtect Portal은 내부 네트워크 접근을 위한 VPN 경계 자산이므로, 이러한 자산이 인터넷에서 식별 가능한 상태라면 인증 우회 취약점 악용 여부와 관계없이 즉시 설정 점검과 접근 제한을 검토해야 한다.

미국 내 외부 노출 GlobalProtect Portal 자산

GlobalProtect Portal은 전 세계적으로 원격 접속 인프라에 널리 사용되며, 국가별 노출 분포를 확인하면 우선 점검이 필요한 지역이나 운영 환경을 파악하는 데 도움이 된다. Criminal IP Asset Search에서는 국가 필터를 활용해 특정 국가에 노출된 GlobalProtect Portal 자산을 별도로 확인할 수 있다.

Criminal IP Asset Search에서 title: GlobalProtect Portal country: “US”를 검색한 결과

Criminal IP 검색 쿼리: title: GlobalProtect Portal country: “US”

약 22,860개의 자산이 탐지된 위 쿼리는 GlobalProtect Portal 관련 자산 중 미국에 위치한 것으로 식별되는 외부 노출 자산을 확인하는 데 활용된다. 미국은 클라우드, 데이터센터, 원격 근무 인프라가 대규모로 운영되는 지역이기 때문에 GlobalProtect Portal과 같은 VPN 경계 자산이 집중적으로 관측될 수 있다. 이러한 국가별 분석은 단순 통계 이상의 의미를 가진다. 공격자는 특정 국가, 산업, 클라우드 인프라, 호스팅 대역을 기준으로 공격 대상을 좁힐 수 있으며, 보안팀 역시 동일한 관점으로 외부 노출 자산을 우선순위화해야 한다. 특히 CVE-2026-0257처럼 실제 악용 정황이 확인된 취약점에서는, 국가별 노출 자산과 패치 상태, SSL 인증서 상태, 인바운드 위협 점수를 함께 분석해 즉시 조치가 필요한 자산을 선별하는 것이 중요하다.

패치 현황 및 대응 방안

CVE-2026-0257에 대한 대응은 단순히 취약 버전을 확인하는 것에서 끝나지 않는다. GlobalProtect Portal과 Gateway가 함께 사용되는 환경에서는 Portal과 Gateway 구성 요소를 일관되게 업데이트해야 하며, Authentication Override Cookie를 사용하는 경우 인증 쿠키 호환성 문제도 고려해야 한다. 공식 권고에 따르면 영향을 받는 PAN-OS 버전은 10.2, 11.1, 11.2, 12.1 계열의 일부 버전이며, 각 계열별 fixed version으로 업그레이드가 필요하다. 특히 Authentication Override Cookie를 사용하는 환경에서는 모든 GlobalProtect Portal 및 Gateway를 권고된 고정 버전으로 함께 업데이트하는 것이 중요하다.

우선적으로 수행해야 할 조치는 다음과 같다.

  • GlobalProtect Portal 및 Gateway 외부 노출 여부 확인
  • PAN-OS 버전 및 fixed version 적용 가능 여부 확인
  • Authentication Override Cookie 활성화 여부 점검
  • 인증 쿠키 전용 인증서 사용 여부 확인
  • Portal/Gateway HTTPS 인증서와 인증 쿠키용 인증서 분리
  • 불필요한 Authentication Override 기능 비활성화
  • 모든 GlobalProtect Portal 및 Gateway를 권고된 fixed version으로 업그레이드
  • 업그레이드 이후 사용자 재인증 발생 가능성 사전 안내
  • gateway-connected 이벤트 및 공개 IoC 기반 로그 점검
  • 외부 접근 가능한 VPN 포털에 대한 접근 제어 강화

특히 공식 완화 조치에서는 Authentication Override Cookie 전용 인증서를 생성해 안전하게 보관하고, Portal 또는 Gateway HTTPS 인증서와 재사용하지 않을 것을 권고한다. 또한 업무상 반드시 필요하지 않다면 Authentication Override 기능을 비활성화하는 것이 위험을 줄이는 직접적인 방법이 될 수 있다. 패치 적용 이후에도 로그 점검은 필요하다. 이미 공격자가 gateway-connected 이벤트를 발생시켰다면, 업데이트만으로 과거 접속 흔적이나 내부 접근 시도 가능성을 확인할 수 없기 때문이다. 따라서 패치, 구성 변경, 로그 조사, 외부 노출 검증을 함께 수행해야 한다.

FAQ

Q1. CVE-2026-0257은 CVSS 7.8(High)인데 왜 우선 대응해야 하나요?

CVSS 7.8은 취약점의 기술적 조건을 기준으로 산정된 점수다. 그러나 CVE-2026-0257은 인증 없이 GlobalProtect VPN 연결을 수립할 수 있는 인증 우회 취약점이며, 실제 악용 정황도 확인되었다. VPN은 내부 네트워크 접근을 위한 경계 자산이므로, 인터넷에 노출된 GlobalProtect Portal에서 해당 취약점이 존재한다면 단순 High 등급 이상의 실질적인 위험으로 평가해야 한다.

Q2. 공격자가 VPN 연결을 수립한 이후 추가로 어떤 행동을 할 수 있나요?

실제 관측된 인트루전에서 공격자는 VPN IP를 할당받은 직후 Impacket 도구를 이용해 내부 SMB 및 NTLM 트래픽을 발생시키는 정찰 활동을 수행했습니다. 이는 AD 환경 열거, 도메인 사용자 및 컴퓨터 목록 수집, 인증 해시 캡처로 이어질 수 있으며, 랜섬웨어 배포나 데이터 탈취를 위한 사전 정찰 단계와 일치합니다. VPN 인증 우회 자체는 “내부망 진입”을 의미하며, 이후 공격 가능성은 내부 네트워크 분리 수준에 따라 결정됩니다.

결론

CVE-2026-0257은 두 가지 측면에서 현대 네트워크 보안의 핵심 과제를 드러낸다.

기술적으로는, 인증 우회 쿠키라는 사용자 편의 기능이 인증서 재사용이라는 일반적인 설정 관행과 결합될 때 모든 인증 통제를 무력화하는 공격 경로가 만들어진다는 점이다. 이 취약점은 패스워드를 훔치거나 MFA를 물리적으로 우회하는 것이 아니라, 서버가 신뢰하는 쿠키의 위조 가능성을 활용한 신뢰 모델 자체의 실패다. 운영적으로는, CVSS 7.8이라는 수치가 “다음 번에 패치할 대상”으로 처리되는 동안 실제 공격이 진행 중이었다는 사실이다. 취약점이 공개된 시점부터 PoC가 나오기까지의 16일간, 그리고 PoC 공개 이후 현재까지 공격은 계속 진행되고 있다. CVSS 점수가 아닌 실제 악용 상황과 외부 노출 현황을 기반으로 패치 우선순위를 결정하는 것이 이번 사건이 제시하는 가장 중요한 교훈이다.

지금 이 순간 GlobalProtect를 운영 중인 조직에서 확인해야 할 것은 두 가지다. 인증 우회 쿠키가 활성화되어 있는지, 그리고 해당 인증서가 다른 기능과 공유되고 있는지다. 이 두 조건이 동시에 충족되어 있다면, 조직의 VPN 게이트웨이는 지금 이 글을 읽는 시간에도 자동화된 공격의 표적이 되고 있을 수 있다.

관련하여 SonicWall SSL-VPN MFA 우회 취약점: 패치 완료와 보호 완료 사이의 공격 표면 글을 참고할 수 있다.

Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.


이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

출처: Criminal IP(https://www.criminalip.io/ko), SC Media(https://www.scworld.com/news/pan-os-globalprotect-bug-actively-exploited-added-to-cisas-kev-list), TheHackerNews(https://thehackernews.com/2026/06/palo-alto-warns-of-active-exploitation.html), Cyber Security News(https://cybersecuritynews.com/palo-alto-vpn-vulnerability-exploited/)

관련 글: https://www.criminalip.io/ko/knowledge-hub/blog/34956