VPN이 뚫렸다 — Palo Alto GlobalProtect 인증 우회(CVE-2026-0257), 쿠키 위조 한 번으로 방화벽 안으로

경계를 지키는 장비가 침투 경로가 될 때

보안 사고를 떠올릴 때 우리는 흔히 허술한 웹 서버나 직원의 실수를 먼저 생각합니다. 그런데 최근 몇 년간 가장 반복적으로 노려진 곳은 의외로 경계를 지키라고 세워둔 보안 장비 그 자체였습니다. VPN과 방화벽은 외부와 내부를 가르는 관문이라, 이 한 겹이 뚫리면 공격자는 곧바로 신뢰받는 내부 사용자처럼 행동할 수 있습니다.

2026년 5월 공개된 Palo Alto Networks의 GlobalProtect 인증 우회 취약점 CVE-2026-0257이 정확히 그런 사례입니다. 공격자는 정교한 멀웨어 없이, 쿠키 하나를 위조하는 것만으로 인증을 건너뛰고 VPN 연결을 맺을 수 있습니다.

CVE-2026-0257은 무엇인가 — 쿠키를 위조하는 인증 우회

이 취약점은 PAN-OS 소프트웨어의 GlobalProtect 포털과 게이트웨이에서 발생합니다. Palo Alto와 NVD의 설명을 그대로 옮기면 다음과 같습니다.

GlobalProtect 포털·게이트웨이의 인증 우회 취약점으로, 공격자가 보안 제한을 우회하고 인가되지 않은 VPN 연결을 수립할 수 있다.

핵심은 인증 오버라이드(Authentication Override) 기능에 있습니다. 이 기능은 쿠키를 암호화·복호화하는 데 인증서를 사용하는데, Rapid7의 분석에 따르면 그 인증서의 공개 키를 아는 사람은 누구든 임의의 인증 오버라이드 쿠키를 위조하고 암호화할 수 있습니다. 특히 그 인증서를 외부에 노출되는 다른 서비스(예: HTTPS 서비스)와 함께 재사용하는 구성이라면 공개 키가 그만큼 노출되기 쉽습니다. 즉 쿠키가 제대로 검증·무결성 확인을 거치지 않는다는 것이 결함의 본질이고, 약점 분류도 CWE-565(검증·무결성 검사 없이 쿠키에 의존)로 지정됐습니다.

공격이 성공하면 원격의 비인증 공격자가 GlobalProtect 게이트웨이를 통해 VPN 연결을 수립합니다. 인증 단계를 통째로 건너뛰는 셈이라, 일단 연결되면 정상 사용자와 구분하기 어렵습니다.

이미 악용되고 있다 — 5월의 두 차례 공격

이 취약점이 위험한 진짜 이유는 이론이 아니라 현실이기 때문입니다. Palo Alto는 공식 권고에서 패치와 완화가 적용되지 않은 기기를 대상으로 제한적인 악용 시도를 인지했다고 밝혔습니다. Rapid7의 관측은 더 구체적입니다.

Rapid7은 여러 고객 환경에서 로컬 관리자 계정에 대한 의심스러운 쿠키 인증을 관측했고, 1차 공격은 호스팅 제공자 Vultr, 2차 웨이브는 Dromatics Systems 인프라에서 비롯됐다고 보고했습니다. 또한 Rapid7 Labs는 이 취약점을 입증하는 공개 PoC 스크립트를 공개했습니다(자산의 취약 여부를 점검하는 데도 쓸 수 있습니다). 검증 코드가 공개됐다는 것은 방어자에게도, 공격자에게도 진입 장벽이 낮아졌다는 뜻입니다.

7.8인가 9.1인가 — 점수를 둘러싼 혼선

이 취약점을 검색하면 심각도 점수가 출처마다 다르게 보입니다. 어느 쪽이 맞는지 헷갈리기 쉬워서, 기준을 나눠서 정리합니다.

정리하면, Palo Alto 공식은 CVSS 4.0 기준 7.8(높음)을 단일 게시하고, NVD는 CVSS 3.1 기준 9.1(심각)을 함께 제시합니다. 여기에 더해, Rapid7 기록에 따르면 처음 4.7(중간)로 산정됐던 점수가 7.8(높음)로 상향됐습니다. 즉 세 숫자(4.7·7.8·9.1)는 단순한 기관 차이가 아니라 CVSS 버전 차이(3.1 vs 4.0)와 시간에 따른 재평가가 섞인 결과입니다. 어느 쪽도 틀린 값은 아니지만, "9.1 심각"으로만 단정하면 벤더 공식 표기와 어긋납니다. 참고로 Rapid7은 공식 점수와 별개로 이 취약점을 'critical(심각)'으로 취급하라고 권고했습니다. 내부에 공유할 때는 기준과 출처를 함께 적는 편이 정확합니다.

무엇이 영향을 받고, 어떻게 확인하나

영향 범위는 PAN-OS의 여러 계열에 걸쳐 있습니다. 정확한 빌드 임계값은 계열마다 세분화돼 있어, 여기서는 큰 틀만 표시하고 정밀한 버전은 공식 권고 표를 직접 확인하시길 권합니다.

• PAN-OS 10.2 · 11.1 · 11.2 · 12.1 계열의 특정 유지보수 버전 미만

• Prisma Access도 영향: 11.2.0은 11.2.7-h13 미만, 10.2.0은 10.2.10-h36 미만

• 반면 Panorama와 Cloud NGFW는 영향을 받지 않습니다 — 불필요한 점검을 줄일 수 있는 정보

확인 절차는 단순합니다. 먼저 운영 중인 PAN-OS 빌드 번호를 Palo Alto 공식 보안 권고(CVE-2026-0257) 페이지의 버전 표와 대조하고, 필요하면 Rapid7 Labs가 공개한 점검 PoC로 취약 여부를 확인합니다. 외부에 GlobalProtect 포털·게이트웨이를 노출하고 있다면 우선순위를 더 높게 잡아야 합니다.

지금 해야 할 일 — 완화책과 패치

패치가 가장 확실한 해법이지만, 운영 일정상 즉시 적용이 어려운 경우를 위해 Palo Alto는 두 가지 임시 완화책을 안내합니다.

1. 인증 오버라이드 쿠키 전용 인증서를 새로 생성해 사용하기

2. 인증 오버라이드 기능 자체를 비활성화하기

완화책은 어디까지나 임시 조치입니다. Rapid7도 영향받는 제품은 인증 오버라이드를 비활성화하거나 전용 인증서를 새로 생성하라고 권고하면서, 근본 해결은 수정 버전 적용임을 분명히 합니다. 다만 수정 버전은 PAN-OS 빌드 계열(10.2·11.1·11.2·12.1)마다 다르고, 같은 계열 안에서도 여러 h-패치로 나뉩니다. 그래서 "특정 버전 이상" 식으로 외우기보다, 공식 권고의 버전 표에서 자신의 빌드에 해당하는 수정 버전을 확인해 업그레이드하는 것이 정확합니다. 참고로 CISA가 명령한 조치도 단순 '패치하라'가 아니라, 벤더 완화책 적용, 클라우드 서비스는 BOD 22-01 지침 준수, 완화가 불가능하면 제품 사용 중단 중 하나를 요구합니다.

한 가지 짚어둘 점은, 완화책과 패치는 취약한 구성을 바로잡는 것이지 이미 발생한 침해를 되돌리지는 않는다는 사실입니다. 그래서 침해 여부 점검을 함께 진행해야 합니다. GlobalProtect 인증 로그에서 로컬 관리자 계정에 대한 비정상 쿠키 인증, Vultr·Dromatics Systems 같은 알려진 악성 호스팅에서의 접속 흔적을 살펴보는 것이 출발점입니다. 특히 Rapid7은 공격자가 /ssl-vpn/hipreport.esp, /ssl-vpn/getconfig.esp 경로로 POST 요청을 보내 터널을 수립했다고 관측했으니, 해당 엔드포인트 접근 로그를 함께 점검하면 좋습니다. 다행히 Rapid7은 침해된 기기에서 내부망으로의 측면 이동 정황은 관측되지 않았다고 밝혔지만, 5월 13일 공개 이후 노출 기간의 흔적은 별도로 확인하는 편이 안전합니다. 공개 이후 19일 만에 연방기관 조치 기한이 잡힐 만큼, 대응 속도가 곧 노출 시간을 줄이는 일입니다.

이것만 기억하세요

자주 묻는 질문 (FAQ)