호주 신호국(ASD)은 Cisco IOS XE 장치를 목표로 하는 BADCANDY 멀웨어 공격이 계속되고 있다고 경고했습니다. 이번 공격은 CVE-2023-20198(심각도 10.0) 취약점을 이용하여 원격 비인증 공격자가 관리자 권한 계정을 생성하고 장치를 완전히 장악할 수 있게 합니다.

CVE-2023-20198 취약점은 2023년부터 실제 공격에 악용되었으며, 최근 몇 달 동안에는 중국 연계 위협 그룹인 Salt Typhoon이 통신사 해킹에 활용한 사례도 보고되었습니다. 이처럼 심각한 결함을 방치하면 네트워크 전반에 걸쳐 큰 피해가 발생할 수 있습니다.

ASD는 2023년 10월 이후 BADCANDY 변종이 계속 발견되고 있으며, 2024년과 2025년에도 공격이 이어지고 있다고 밝혔습니다. 특히 2025년 7월부터 10월까지 호주 내 약 400대의 장치가 이 멀웨어에 감염되었고, 그중 150대는 10월에 신규로 침해된 것으로 추정됩니다.

BADCANDY는 파일 기반 영구 저장소 없이 메모리에서만 동작하기 때문에 재부팅 시 사라지지만, 장치가 인터넷에 노출된 상태로 패치되지 않으면 공격자가 언제든지 악성 코드를 다시 설치할 수 있습니다. ASD는 이미 통보한 장치들에서 재침해가 발생한 정황을 포착했습니다.

따라서 시스템 운영자는 즉시 제공된 패치를 적용하고 웹 사용자 인터페이스의 공개 접근을 제한해야 합니다. 아울러 Cisco가 권고하는 보안 강화 지침을 준수하여 재발 방지 조치를 마련해야 합니다.

ASD가 제시한 구체적인 대응 방안은 다음과 같습니다.
1. 실행 중인 설정에서 권한 레벨 15 계정을 검토하고, 승인되지 않은 계정을 삭제합니다.
2. 랜덤 문자열 계정이나 “cisco_tac_admin”, “cisco_support”, “cisco_sys_manager”, “cisco” 등의 계정을 확인하여 정당하지 않으면 제거합니다.
3. 알 수 없는 터널 인터페이스 설정을 점검하고 필요 없는 인터페이스를 삭제합니다.
4. TACACS+ AAA 명령 로그(구성 변경 기록)를 활성화했다면, 변경 내역을 검토하여 이상 징후를 확인합니다.