[Security] CVE-2026-0257: PAN-OS GlobalProtect 인증 우회 — CISA KEV 긴급 등재
서론
2026년 5월 29일, CISA(미국 사이버보안·인프라보안국)가 Palo Alto Networks PAN-OS의 인증 우회 취약점 CVE-2026-0257을 Known Exploited Vulnerabilities(KEV) 카탈로그에 등재했다. 이미 5월 17일부터 실제 공격이 관측되고 있었으나 패치 미적용 기기가 여전히 다수 존재한다는 사실이 확인되면서 CISA가 긴급 경보를 발령한 것이다.
GlobalProtect는 Palo Alto Networks의 VPN 솔루션으로, 기업 및 공공기관의 원격 근무 인프라에서 광범위하게 사용된다. 이 취약점이 악용되면 공격자는 유효한 자격증명 없이 VPN 세션을 수립할 수 있어, 내부 네트워크로의 초기 진입점(Initial Access)으로 악용될 위험이 크다.
Rapid7의 위협 인텔리전스 보고서에 따르면 두 차례의 공격 파동이 서로 다른 호스팅 인프라에서 발생했으며, 일부 피해 기기에서는 VPN IP가 실제로 할당됐다는 사실이 확인됐다. 이론적 위험이 아닌 실제 내부망 접근이 이루어진 사례가 존재한다는 의미다.
본론
취약점 개요
| 항목 | 내용 |
|---|---|
| CVE ID | CVE-2026-0257 |
| 영향 컴포넌트 | PAN-OS GlobalProtect 포털 및 게이트웨이 |
| 취약점 유형 | 인증 우회 (Authentication Bypass) |
| CVSS v3.1 기본 점수 | 7.8 |
| 공격 벡터 | 네트워크 (인터넷 경유) |
| 사용자 인터랙션 | 불필요 |
| 악용 조건 | 인증 오버라이드 쿠키 활성화 + 특정 인증서 설정 필요 |
| CISA KEV 등재일 | 2026-05-29 |
| 연방 민간기관 패치 기한 | 2026-06-19 (BOD 22-01) |
이 취약점은 GlobalProtect 포털 또는 게이트웨이에서 인증 오버라이드 쿠키(authentication override cookie) 기능이 활성화된 상태이고, 특정 인증서 설정이 병행될 때 발생한다. 공격자는 이 조건에서 조작된 쿠키를 전송해 인증 절차를 완전히 건너뛰고 VPN 연결을 수립할 수 있다.
Palo Alto Networks의 공식 권고문(CVE-2026-0257)에 따르면, 성공적인 공격이 이루어진 경우 피해 기기에서 VPN 게이트웨이가 IP를 정상 할당하는 것이 관측됐다. 단순히 연결 시도에 그치는 게 아니라, 실제 내부망 접근 권한을 취득한 셈이다.
공격 타임라인
Rapid7의 위협 인텔리전스 팀이 공개한 익스플로잇 타임라인:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
2026-05-17 1차 공격 파동
출처: Vultr 호스팅 인프라 IP
타겟: 인증 오버라이드 쿠키 활성화 + 조건 충족 기기
상태: 일부 기기에서 VPN 세션 수립 확인
2026-05-21 2차 공격 파동
출처: Dromatics Systems 호스팅 IP
타겟: 미패치 PAN-OS 기기 계속 표적
상태: 피해 기기에서 VPN IP 할당 관측
2026-05-29 CISA KEV 카탈로그 등재
근거: 실제 악용 증거 확인
조치: BOD 22-01에 따른 미 연방 민간기관 패치 의무화
기한: 2026-06-19
1차(Vultr)와 2차(Dromatics Systems) 공격 파동이 서로 다른 호스팅 인프라를 사용했다는 점은 주목할 만하다. 단일 공격자의 소규모 테스트가 아닌, 복수의 위협 행위자 또는 체계적으로 진행되는 캠페인일 가능성을 시사한다. CISA가 KEV에 등재하는 기준이 “실제 악용 증거 확인”인 만큼, 이미 실제 피해 사례가 복수 존재한다는 의미이기도 하다.
악용 조건 상세 분석
CVE-2026-0257이 발현되기 위해서는 두 조건이 동시에 충족되어야 한다.
조건 1: 인증 오버라이드 쿠키 활성화
GlobalProtect의 인증 오버라이드 쿠키 기능은 SSO(Single Sign-On) 환경에서 재인증 부담을 줄이거나 모바일 디바이스의 연결 끊김·재연결 시 사용자 경험을 개선하기 위해 많은 기업 환경에서 활성화한다. 편의성과 보안의 균형점에서 활성화를 선택한 조직이 적지 않다.
조건 2: 특정 인증서 설정
정확한 인증서 조건은 Palo Alto Networks의 공식 권고문에서 상세히 다루고 있다. 핵심은 내부 CA 발급 인증서를 특정 방식으로 구성한 경우에 취약점이 활성화된다는 점이다.
두 조건 모두 기업 환경에서 드문 설정이 아니다. Rapid7의 분석에 따르면 실제로 익스플로잇이 성공한 환경들이 이 두 조건을 충족하고 있었다.
패치 및 완화 방법
Palo Alto Networks는 CVE-2026-0257에 대한 패치를 PAN-OS 업데이트로 제공한다.
즉시 확인 사항:
1
2
3
4
5
6
7
# PAN-OS 관리 콘솔에서 확인
# Network → GlobalProtect → Portals → [해당 포털] → Agent → Authentication Override
# "Generate cookie for authentication override" 설정 여부 확인
# 또는 CLI에서
show global-protect-gateway gateway-status
show running security-policy
취약 여부 자가 진단:
- GlobalProtect 포털/게이트웨이에서 인증 오버라이드 쿠키가 활성화되어 있는가?
- 내부 CA 발급 인증서를 특정 방식으로 구성했는가?
두 조건이 모두 해당된다면 즉시 패치 적용이 필요하다. 패치 이전 임시 완화 방법으로는 인증 오버라이드 쿠키 기능을 임시 비활성화하는 방법이 있으나, 운영 환경에 영향을 줄 수 있으므로 변경 관리 절차를 따라야 한다.
패치 적용 기한:
- 미 연방 민간기관 (FCEB): 2026년 6월 19일 (BOD 22-01 의무)
- 일반 기업: 즉시 적용 강력 권고
유사 선례와 VPN 취약점의 위험성
Palo Alto Networks의 PAN-OS 및 GlobalProtect는 과거에도 지속적인 공격 표적이 됐다.
2024년에 발생한 CVE-2024-3400 (OS 커맨드 인젝션, CVSS 10.0)은 공개 직후 대규모 익스플로잇 캠페인이 벌어지며 전 세계 수천 개 기관이 침해됐다. 이 공격에서 확인된 패턴은 다음과 같았다.
1
2
3
4
5
VPN 게이트웨이 침해
→ 내부망 침투 (Initial Access)
→ 측면 이동 (Lateral Movement)
→ 권한 상승 (Privilege Escalation)
→ 데이터 유출 / 랜섬웨어 배포
CVE-2026-0257은 CVSS가 7.8로 CVE-2024-3400보다 낮지만, 공격 조건이 충족되면 동일한 패턴으로 이어질 수 있다.
VPN 게이트웨이가 공격자의 최우선 표적이 되는 이유는 명확하다. 인터넷에서 직접 접근 가능하면서, 내부망 접속이라는 고가치 자산으로의 관문 역할을 하기 때문이다. 특히 재택근무가 일상화된 현재 많은 조직에서 GlobalProtect가 수십~수천 명 직원의 유일한 내부망 접속 경로가 되어 있다.
업계 반응
The Hacker News는 CVE-2026-0257 보도에서 “두 차례의 공격 파동에서 서로 다른 인프라가 사용됐다는 점이 이 취약점이 단순한 스캐닝 수준을 넘어 실제 침투 목적으로 적극 활용되고 있음을 보여준다”고 분석했다.
Rapid7는 공개 보고서에서 “1차 공격 파동(Vultr)과 2차 공격 파동(Dromatics Systems) 사이의 시간 간격과 타겟 선정 패턴을 보면, 공격자가 1차 결과를 기반으로 전술을 조정했을 가능성이 있다”고 평가했다.
SecurityWeek는 “GlobalProtect 관련 취약점이 발표될 때마다 패치 속도가 공격 속도를 따라가지 못하는 패턴이 반복되고 있다. 조직들이 CVE 공개와 패치 배포 사이의 공백을 최소화하는 자동화된 패치 관리 체계를 갖추는 것이 시급하다”고 지적했다.
CISA의 KEV 카탈로그 등재는 미 연방 민간기관에 대한 법적 구속력을 갖지만, 그 이상의 상징적 의미도 있다. “이 취약점은 실제로 공격에 사용되고 있으므로 즉시 대응하라”는 강력한 신호다. 조직 보안팀에서는 CISA KEV 등재를 최고 우선순위 패치 신호로 활용하는 것이 업계 표준 관행이 돼가고 있다.
정리
- CVE-2026-0257은 PAN-OS GlobalProtect의 인증 우회 취약점(CVSS 7.8)으로, 2026년 5월 29일 CISA KEV에 등재됐다.
- 실제 공격이 5월 17일과 21일 두 차례 파동으로 관측됐으며, 피해 기기에서 VPN IP가 실제로 할당되는 것이 확인됐다.
- 악용 조건: 인증 오버라이드 쿠키 활성화 + 특정 인증서 설정 — 두 조건을 지금 즉시 점검해야 한다.
- 미 연방 민간기관의 패치 기한은 2026년 6월 19일; 민간 기업은 즉시 패치 적용이 강력히 권고된다.
- VPN 게이트웨이 취약점은 내부망 초기 진입점으로 악용되는 패턴이 반복되므로, 패치 우선순위를 최상위로 설정해야 한다.
- 임시 완화: 인증 오버라이드 쿠키 기능 비활성화 (운영 영향 검토 후 적용).
Reference
- The Hacker News — PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation
- Palo Alto Networks — CVE-2026-0257 Security Advisory
- Rapid7 — Observed Exploitation of PAN-OS GlobalProtect CVE-2026-0257
- CISA — Known Exploited Vulnerabilities Catalog
- SecurityWeek — Palo Alto Networks Warns of PAN-OS GlobalProtect Auth Bypass Exploitation