[Security] CVE-2026-3055: Citrix NetScaler SAML IDP 취약점 — Fortinet 대규모 공격 확인

Posted Jun 5, 2026

By Jung Woojin

17 min read

서론

2026년 6월 2일, Fortinet FortiRecon 위협 인텔리전스 팀이 CVE-2026-3055에 대한 대규모 능동 공격이 진행 중임을 공식 확인했다. Citrix NetScaler ADC 및 NetScaler Gateway의 SAML IDP 설정에서 발생하는 이 메모리 오버리드 취약점은 3월 23일에 이미 패치가 릴리스됐지만, 수개월이 지난 현재까지도 인터넷에 노출된 미패치 기기들이 대규모 공격의 표적이 되고 있다.

보안 분석 업체 Picus Security는 이 취약점을 “CitrixBleed 3”라고 부른다. 2023년의 CitrixBleed(CVE-2023-4966)가 Citrix 역사상 최악의 취약점 중 하나로 꼽혔고, 이번 CVE-2026-3055가 그에 버금가는 파급력을 가진 것으로 평가받기 때문이다. CVSS 점수는 9.3으로, 인증 없이 원격에서 민감한 메모리 정보를 유출하거나 코드를 실행할 수 있는 임계 수준의 취약점이다.

Canadian Centre for Cyber Security(캐나다 사이버보안센터)도 별도 경보(AL26-006)를 발령하며 즉각적인 패치 적용을 촉구했다. 3월부터 공격이 관측되기 시작했고 6월 현재 공격 강도가 오히려 커진 점에서, 아직 패치를 적용하지 않은 조직에게는 즉각적인 대응이 필요한 상황이다.

본론

취약점 개요

항목	내용
CVE ID	CVE-2026-3055
취약점 유형	범위 외 읽기 (Out-of-Bounds Read / Memory Overread)
CVSS v3.1 점수	9.3
영향 컴포넌트	NetScaler ADC 및 NetScaler Gateway (SAML IDP로 구성된 경우)
공격 벡터	네트워크 (인터넷 경유), 인증 불필요
공개 일시	2026년 3월 23일 (Citrix 보안 공고 CTX696300)
CISA KEV 등재	2026년 3월 30일
패치 출시	2026년 3월 23일 (공개와 동시)

이 취약점은 NetScaler ADC와 NetScaler Gateway가 SAML Identity Provider(SAML IDP) 로 구성된 경우에만 발현된다. 기본 설정(SAML IDP를 사용하지 않는 일반 게이트웨이)에서는 영향을 받지 않는다. 다만 SAML IDP 설정은 SSO(Single Sign-On) 환경에서 매우 흔하게 사용되는 구성이므로, 실질적인 영향을 받는 기기 수는 결코 적지 않다.

취약점이 발생하는 위치는 SAML 관련 요청을 처리하는 과정에서의 입력 유효성 검사 미흡이다. 공격자는 조작된 SAML 요청을 전송해 어플라이언스 메모리의 범위 밖을 읽어내는 메모리 오버리드를 발생시킬 수 있다. 이를 통해 세션 토큰, 자격증명, 기타 민감 정보가 유출될 수 있으며, 일부 분석에서는 원격 코드 실행(RCE)까지 가능하다고 보고됐다.

또한 동일 보안 공고(CTX696300)에서 함께 패치된 CVE-2026-4368 — 정보 노출 취약점 — 도 주의가 필요하다. CVE-2026-3055와 CVE-2026-4368를 연계해 활용하면 공격자가 더 많은 정보를 수집하고 측면 이동을 수행하기 용이해진다고 CyCognito는 분석했다.

기술적 원리 — SAML IDP 설정의 함정

SAML(Security Assertion Markup Language)은 기업 환경의 SSO에서 광범위하게 사용되는 인증 프로토콜이다. NetScaler가 SAML IDP 역할을 하는 환경에서는 사용자 인증 요청을 받아 처리하고, 서비스 프로바이더(SP)에게 인증 결과를 전달한다. 이 과정에서 NetScaler는 인터넷에서 직접 접근 가능한 상태로 운영되는 경우가 많다.

CVE-2026-3055의 기술적 핵심은 SAML 관련 입력 처리 코드의 경계 검사 부재다.

[정상 흐름]
클라이언트 → SAML 요청 전송
NetScaler  → 요청 파싱 → 유효성 검사 → 처리

[CVE-2026-3055 공격 흐름]
공격자    → 조작된 SAML 요청 전송
NetScaler → 요청 파싱 → 경계 외 메모리 읽기 발생
           → 메모리 내용 유출 (세션 토큰, 자격증명 등)

watchTowr Labs는 3월 29일 발표한 기술 분석에서 이 취약점의 익스플로잇 경로를 상세히 설명했다. 분석에 따르면 SAML IDP로 구성된 NetScaler에 특정 조작 요청을 전송하면, 응답 패킷에 정상 범위 밖의 메모리 내용이 포함돼 반환된다. CrowdSec는 이를 Heartbleed 유형의 메모리 누수와 유사한 패턴으로 설명했다.

Horizon3.ai 역시 PoC(개념 증명) 코드를 3월 말에 공개했으며, 이후 Metasploit 모듈도 등장했다. 공개된 PoC의 존재는 기술 수준이 낮은 공격자도 이 취약점을 손쉽게 악용할 수 있음을 의미한다.

공격 타임라인

Fortinet과 CrowdSec의 위협 인텔리전스 데이터를 종합하면 공격 타임라인은 다음과 같다.

2026-03-23  Citrix, 보안 공고 CTX696300 발행 및 패치 릴리스
            (CVE-2026-3055 + CVE-2026-4368 동시 공개)

2026-03-27  첫 번째 실제 공격 흔적 관측 (CrowdSec 탐지)
            → 패치 공개 4일 만에 실제 익스플로잇 시작

2026-03-29  watchTowr Labs, 기술 분석 보고서 공개
            PoC 익스플로잇 코드 게시

2026-03-30  CISA, CVE-2026-3055를 KEV 카탈로그에 등재
            → "실제 악용 증거 확인" 기준 충족

4월 이후    지속적인 자동화 스캐닝 및 익스플로잇 캠페인 관측
            Metasploit 모듈 공개 → 공격 진입 장벽 하락

2026-06-02  Fortinet FortiRecon, 대규모 능동 공격 공식 확인
            → SAML IDP 구성 기기를 대상으로 한 광범위한 캠페인
            
2026-06-03  Canadian Centre for Cyber Security, 경보 AL26-006 발령
            Vulnerability Intelligence Report, CVE-2026-3055 
            재경보 발행

패치 공개 후 4일 만에 실제 공격이 시작된 점, 그리고 3개월이 지난 6월에도 공격 강도가 유지되는 점이 이 취약점의 특수성이다. 일반적으로 취약점은 시간이 지나면서 공격 빈도가 줄어들지만, CVE-2026-3055는 오히려 자동화된 대규모 캠페인으로 진화하는 양상을 보이고 있다.

영향 받는 버전 및 패치 버전

Citrix의 보안 공고 CTX696300에 명시된 영향 버전과 패치 버전은 다음과 같다.

제품	영향 받는 버전	패치 버전
NetScaler ADC 및 Gateway 14.1	14.1-66.59 미만	14.1-66.59 이상
NetScaler ADC 및 Gateway 13.1	13.1-62.23 미만	13.1-62.23 이상
NetScaler ADC 13.1-FIPS	13.1-37.262 미만	13.1-37.262 이상
NetScaler ADC 13.1-NDcPP	13.1-37.262 미만	13.1-37.262 이상

단, SAML IDP로 구성되어 있지 않다면 CVE-2026-3055의 직접적인 영향은 없다. 하지만 같은 보안 공고에서 함께 패치된 CVE-2026-4368은 구성과 무관하게 영향을 미칠 수 있으므로, 어떤 경우든 패치 적용이 권장된다.

점검 및 완화 방법

1. SAML IDP 구성 여부 확인

NetScaler 관리 콘솔 또는 CLI에서 현재 SAML IDP가 활성화되어 있는지 먼저 확인한다.

# NetScaler CLI에서 SAML IDP 바인딩 확인
show saml idpProfile
show vpn vserver

# 인터넷 노출 여부 점검
show serviceGroup
show lb vserver

2. 즉시 패치 적용

SAML IDP 구성 여부와 무관하게 위 패치 버전으로 업그레이드하는 것이 가장 확실한 대응이다. SAML IDP가 활성화된 경우라면 패치 적용을 최우선으로 처리해야 한다.

3. 임시 완화 (패치 전)

즉시 패치 적용이 어려운 경우, 인터넷에서 SAML IDP 엔드포인트로의 직접 접근을 웹 애플리케이션 방화벽(WAF) 또는 네트워크 수준에서 제한하는 것을 고려할 수 있다. 단, 이것은 패치를 대체하는 수단이 아닌 임시 조치다.

4. 침해 여부 확인

공격이 3월부터 진행됐으므로 이미 피해를 받았을 가능성을 배제할 수 없다. NetScaler의 액세스 로그에서 SAML 관련 비정상 요청 패턴을 검토하고, 세션 토큰 로테이션을 고려해야 한다.

“CitrixBleed 3”라 불리는 이유

Picus Security가 CVE-2026-3055를 “CitrixBleed 3”라고 명명한 데에는 역사적 배경이 있다.

CitrixBleed (2023, CVE-2023-4966): NetScaler ADC/Gateway의 정보 유출 취약점. CVSS 9.4. 실제로 대규모 랜섬웨어 캠페인에 활용됐으며 LockBit, Medusa 등의 그룹이 이 취약점을 통해 수십 개 기관에 초기 침투를 달성했다. Boeing, ICBC, DP World 등이 이 취약점과 연관된 공격으로 피해를 입었다.
CitrixBleed 2 (2025, CVE-2025-*): 연속선상에서 발생한 유사 취약점 계열.
CitrixBleed 3 (2026, CVE-2026-3055): 이번 취약점. 메모리 오버리드 메커니즘이 2023년 CitrixBleed와 개념적으로 유사하며, SAML IDP라는 매우 흔한 설정에서 발생한다는 점에서 영향 범위가 광범위하다.

NetScaler가 기업 VPN, 부하분산, SSO 게이트웨이 역할을 동시에 수행하는 경우가 많다는 점에서, 이 시리즈의 취약점들은 반복적으로 공격자들의 최우선 표적이 되어왔다.

업계 반응

Rapid7는 CVE-2026-3055 분석 보고서에서 “SAML IDP 설정이 매우 일반적인 기업 구성인 만큼, 이 취약점의 실제 영향을 받는 기기 수는 초기 예상보다 훨씬 많을 수 있다”고 경고했다.

CrowdSec는 자체 위협 인텔리전스 데이터에서 “3월 27일부터 공격 흔적이 관측됐으며, 이후 자동화된 스캐닝과 익스플로잇이 결합된 캠페인 패턴이 확인됐다”고 보고했다.

watchTowr는 기술 분석 보고서에서 “이 취약점의 익스플로잇이 상대적으로 간단하고, PoC가 공개된 만큼 기술 수준에 관계없이 많은 공격자가 활용할 수 있다”고 평가했다.

Canadian Centre for Cyber Security의 AL26-006 경보는 캐나다 내 조직들에 대해 즉시 업그레이드와 침해 여부 점검을 촉구하며, “야생에서의 악용이 3월 27일부터 시작된 오픈소스 보고를 관측했다”고 공식 확인했다.

Fortinet의 OutBreak Alert 시스템이 CVE-2026-3055를 공식 경보로 지정했다는 사실은 이 취약점이 단순한 PoC 수준을 넘어 실질적인 위협 캠페인의 핵심 수단으로 활용되고 있음을 방증한다.

정리

CVE-2026-3055는 Citrix NetScaler ADC/Gateway의 SAML IDP 설정에서 발생하는 CVSS 9.3 메모리 오버리드 취약점이다.
3월 23일 패치가 릴리스됐으나, 6월 2일 Fortinet이 대규모 능동 공격을 공식 확인했다 — 미패치 기기를 보유한 조직은 즉각 업그레이드해야 한다.
패치 버전: NetScaler 14.1 → 14.1-66.59 이상, NetScaler 13.1 → 13.1-62.23 이상, FIPS/NDcPP → 13.1-37.262 이상.
CISA KEV에 3월 30일 등재됐으며, Canadian Centre for Cyber Security도 별도 경보(AL26-006)를 발령했다.
공개된 PoC와 Metasploit 모듈로 인해 공격 진입 장벽이 낮아졌다 — 자동화된 스캐닝과 결합된 대규모 캠페인이 진행 중이다.
이미 3월 이후로 기기가 노출된 경우, 침해 여부 확인과 세션 토큰 로테이션을 병행하는 것이 권장된다.
CVE-2026-4368도 동일 보안 공고(CTX696300)에서 함께 패치됐으므로 함께 확인이 필요하다.

Reference

Security

This post is licensed under CC BY 4.0 by the author.