한국정보기술진흥원
한국정보기술신문
thumbnail

정보통신 · 정보보안 ·

전 세계 텔넷 트래픽 59% 급감...보안 취약점 사전 차단 추정

발행일
읽는 시간2분 48초

글로벌 텔넷 트래픽이 1월 14일 한 시간 만에 65% 폭락했다. 6일 뒤 중대 보안 취약점이 공개됐다.

[한국정보기술신문] 2026년 1월 14일 오후 9시(UTC), 전 세계 인터넷 백본망에서 이례적인 현상이 관측됐다. 보안 기업 그레이노이즈 글로벌 센서망이 텔넷 트래픽의 급격한 감소를 포착한 것이다. 한 시간 만에 65%가 줄어든 트래픽은 이후 83%까지 하락했고, 현재까지 이전 수준의 40%대에 머물고 있다.

더욱 주목할 점은 이 현상이 발생한 지 6일 후인 1월 20일, GNU Inetutils 텔넷 데몬의 인증 우회 취약점인 CVE-2026-24061이 공개됐다는 사실이다. 그레이노이즈는 두 사건 사이의 시간적 연관성에 주목하며, 대형 인터넷 백본 사업자가 취약점 정보를 사전에 통보받아 포트 23 필터링을 실시한 것으로 추정하고 있다.

한 시간 만에 65% 급락

그레이노이즈의 데이터에 따르면 1월 14일 오후 8시(UTC)까지 시간당 약 7만 4천 개의 텔넷 세션이 관측됐다. 그러나 오후 9시에는 2만 2천 개로 줄었고, 10시에는 1만 1천 개로 떨어졌다. 계단식 급락 패턴은 점진적 감소가 아닌 라우팅 인프라의 설정 변경을 시사한다.

특히 18개 주요 자율시스템번호 완전히 침묵했다. 벌처, 콕스 커뮤니케이션즈, 차터 등 대형 ISP들이 포함됐으며, 짐바브웨, 우크라이나, 캐나다, 폴란드, 이집트 등 5개국이 데이터에서 완전히 사라졌다.

흥미롭게도 AWS는 78%, 콘타보는 90% 증가했다. 클라우드 사업자들은 주요 인터넷 익스체인지 포인트에서 광범위한 사설 피어링을 보유해 전통적인 백본 경로를 우회하기 때문이다.

11년 동안 숨어있던 치명적 취약점

CVE-2026-24061은 CVSS 9.8점의 치명적 취약점이다. GNU Inetutils 텔넷 데몬이 USER 환경변수를 처리하는 과정에서 발생하는 인자 주입 결합이다. 공격자는 사용자명으로 -f root를 전송하기만 하면 login(1)이 인증을 건너뛰고 루트 권한 셸을 제공한다. 자격 증명이나 사용자 상호작용이 전혀 필요없다.

취약한 코드는 2015년 커밋에서 도입돼 거의 11년간 발견되지 않았다. 연구자 카를로스 코르테스 알바레스가 1월 19일 이를 보고했으며, 1월 20일 oss-security에 권고문이 게시됐다. 1월 26일 미국 사이버보안인프라보안국(CISA)이 알려진 악용 취약점 카탈로그에 추가했다.

그레이노이즈는 공개 수 시간 내에 악용 시도를 관측했으며, 2월 초 하루 약 2천 600개 세션으로 정점을 찍었다.

사전 통보와 인프라 대응 추정

트래픽 급감과 취약점 공개 사이의 6일 간격이 핵심이다. 급감이 먼저 발생했으므로 공개가 원인일 수는 없다. 하지만 책임있는 공개 절차는 발표 전에 시작된다.

오후 9시(UTC), 즉 미 동부 표준시 오후 4시는 미국 유지보수 시간대와 일치한다. 미국 주거용 ISP들이 큰 타격을 받았지만, 같은 대륙의 클라우드 사업자들은 변화를 우회했다. 주요 티어 1 백본인 버라이즌/UUNET(AS701)이 79% 감소한 것은 필터링 주체이거나 바로 상위에 위치함을 시사한다.

대서양 또는 태평양 백본 경로에 의존하는 국가들이 가장 큰 타격을 받았다. 유럽 직접 피어링이 강한 프랑스(+18%)와 독일(-1%)은 거의 영향을 받지 않았다. 차이나 텔레콤과 차이나 유니콤이 모두 약 59% 감소한 것은 필터가 중국 측이 아닌 미국 측 태평양 링크에 위치함을 시사한다.

보안 업계의 구조적 변화

그레이노이즈는 취약점 사전 통보를 받은 백본 또는 중계 사업자가 인프라 수준에서 조치를 취했을 가능성을 제기한다. 필터링이 1월 14일 실시되고 6일 후 공개가 이뤄진 것이다. 증명할 수는 없지만, 티어 1 백본이 포트 23 필터링을 실시하고 6일 후 루트 접근 텔넷 취약점이 공개되고 4일 후 CISA KEV 등재가 이뤄진 연쇄는 기록할 가치가 있다.

1월 14일 이후 텔넷 환경은 주기적 급등과 하락을 반복하는 톱니 패턴을 보인다. 1월 28일 80만 6천 세션에서 1월 30일 19만 1천 세션으로 변동했다. 이는 간헐적 필터 적용, 필터링 인프라 주변의 라우팅 변동, 또는 필터의 영향을 받지 않는 경로를 사용하는 스캐너 캠페인을 나타낼 수 있다.

현재 주간 평균은 기준선의 약 3분의 1 수준이며, 추세는 여전히 약간 하향세다. 인터넷 중계 인프라의 상당 부분 상위에 있는 누군가가 텔넷 트래픽을 더 이상 전달할 가치가 없다고 판단한 것으로 보인다.

GNU Inetutils 텔넷 데몬을 실행 중인 경우 버전 2.7-2 이상으로 패치하거나 서비스를 완전히 비활성화해야 한다. CISA의 연방 기관 구제 기한은 2월 16일이다. 네트워크 운영자가 아직 경계에서 포트 23을 필터링하지 않았다면, 이번에 기록된 백본 수준 필터링은 업계가 그 방향으로 움직이고 있음을 보여준다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org