F5 BIG-IP APM CVE-2025-53521 DoS에서 RCE로 재분류

[ 인시던트 개요 ]

- CVE 번호  -  CVE-2025-53521
- 최초 공개 일자  -  2025년 10월 15일  ( DoS로 분류 )
- 재분류 일자  -  2026년 3월  ( RCE로 상향, CVSS v3.1: 9.8 / CVSS v4.0: 9.3 )
- CISA KEV 등재  -  2026년 3월 27일
- 연방기관 패치 기한  -  2026년 3월 30일  ( 3일 이내 )
- 영향 제품  -  F5 BIG-IP Access Policy Manager  ( APM )
- 영향 버전  -  17.5.0~17.5.1, 17.1.0~17.1.2, 16.1.0~16.1.6, 15.1.0~15.1.10
- 공격 유형  -  인증 전 원격 코드 실행  ( Pre-auth RCE )
- 위협 행위자  -  중국 연계 국가 지원 위협 행위자  ( Brickstorm 백도어 배포 )

[ 기술적 세부 사항 ]

[ 취약점의 본질 ]

CVE-2025-53521은 F5 BIG-IP APM의 apmd 프로세스에 존재하는 취약점이다. apmd는 BIG-IP APM 가상 서버에서 실시간 트래픽을 처리하는 핵심 프로세스로, 접근 정책을 라이브 트래픽에 적용하는 역할을 담당한다.

가상 서버에 BIG-IP APM 접근 정책이 구성된 상태에서 특정 형태의 악성 트래픽이 유입될 경우 원격 코드 실행이 발생한다. Appliance 모드 ( BIG-IP 기기를 단순 어플라이언스로 운영하는 구성 ) 에서도 동일하게 취약하다. 인증 없이도 악용 가능한 ( pre-auth ) 취약점이며, 공격 복잡도가 낮다고 평가된다.

[ 취약점 재분류의 배경 - F5 소스코드 탈취 사건과의 연계 ]

이 취약점이 DoS에서 RCE로 재분류된 배경에는 F5 자체에 대한 선행 침해 사건이 있다. 2025년 10월 15일 F5는 자사 데이터 침해를 공개하며, 고도로 정교한 국가 지원 위협 행위자가 BIG-IP 소스코드와 미공개 취약점에 대한 정보에 접근하였음을 확인하였다. 이후 해당 위협 행위자는 중국과 연계된 것으로 밝혀졌으며, 최소 12개월 이상 F5의 내부 네트워크에 체류한 것으로 분석되었다. 이 기간 동안 Brickstorm 백도어가 F5 고객사 시스템에 배포된 것으로 보고되었다.

2026년 3월, F5는 새로운 정보를 바탕으로 CVE-2025-53521의 실제 영향이 DoS가 아닌 RCE임을 확인하고 기술 권고를 업데이트하였다. 즉, 중국 연계 위협 행위자가 탈취한 소스코드를 분석하는 과정에서 해당 취약점의 실제 공격 가능성이 파악되었거나, 또는 실제 악용 사례가 확인된 것으로 해석된다.

[ 확인된 침해 지표 - IOC ]

F5는 다음과 같은 침해 지표를 공개하였다.

파일시스템 지표

- /run/bigtlog.pipe 와 같은 특정 파일의 존재
- /usr/bin/umount 또는 /usr/sbin/httpd 의 해시 및 파일 크기 불일치
- BIG-IP 시스템 무결성 검사 도구인 sys-eicheck 에 대한 변조

로그 지표

- localhost의 iControl REST API 접근 감사 로그
- 로컬 사용자에 의한 SELinux 보안 모듈 비활성화 기록

네트워크 지표

- BIG-IP 시스템에서 발생하는 특정 HTTP/S 아웃바운드 트래픽 패턴

F5는 웹셸이 디스크에 기록된 사례를 확인하였으나, 일부 웹셸은 메모리 상에서만 동작하여 디스크 파일이 남지 않는 경우도 있음을 경고하였다.

[ 스캐닝 활동 현황 ]

CISA KEV 등재 이후 Defused Cyber의 연구진이 취약한 F5 BIG-IP 기기에 대한 급격한 스캐닝 활동 증가를 실시간으로 관측하였다. KEV 등재 자체가 공격자들에게 공격 대상 목록으로 기능하는 역할을 하고 있음이 이번에도 확인되었다.

[ 근본 원인 분석 ]

[ 기술적 요인 ]

apmd 프로세스의 취약한 입력값 처리 ( insufficient input validation ) 가 근본적인 기술 원인이다. 그러나 이 사건에서 더 중요한 기술적 요인은 취약점 분류 오류다. 동일한 취약점이 DoS로 분류된 시점과 RCE로 재분류된 시점 사이에 약 5개월의 간격이 존재하며, 이 기간 동안 일부 조직은 DoS 등급의 우선순위로 패치를 지연하였을 가능성이 높다.

[ 관리적 요인 ]

CVE 분류와 CVSS 점수는 완전한 정보가 아닌 당시에 알려진 정보를 기반으로 결정된다. 이번 사례는 최초 분류가 실제 악용 가능성을 과소평가했으며, 이를 그대로 수용하여 패치 우선순위를 결정한 조직들이 사후에 더 큰 위험에 노출되었음을 보여준다.

또한 중국 연계 위협 행위자가 F5 소스코드를 탈취하는 데 12개월 이상이 걸렸지만 F5 내부에서 이를 탐지하지 못한 점은, 소프트웨어 공급망 보안과 내부 네트워크의 장기 체류 ( long dwell time ) 탐지 능력의 한계를 보여준다.

[ 인적 요인 ]

보안 운영팀에서 CVE를 수동으로 검토하고 패치 우선순위를 결정하는 과정에서, CVSS 점수를 단순 참고 지표로 활용하고 실제 공격 가능성을 추가로 평가하는 절차가 부재한 경우가 많다. 이번 사례처럼 분류가 변경될 수 있음을 인지하고, 고영향 제품 ( 네트워크 엣지, ADC, APM ) 에 대한 취약점은 분류 변경 여부를 지속적으로 추적하는 절차가 필요하다.

[ 피해 영향 평가 ]

BIG-IP APM은 주로 대기업, 금융 기관, 정부 및 공공 기관에서 사용되는 엔터프라이즈급 네트워크 접근 제어 솔루션이다. 이 제품이 기업 네트워크의 핵심 진입점에 위치한다는 특성상, RCE 취약점이 악용될 경우 공격자는 내부 네트워크에 대한 광범위한 초기 접근 권한을 획득하게 된다.

실제 악용이 이미 진행 중임이 CISA에 의해 확인되었으나, 피해 조직의 수와 규모는 현재까지 공개되지 않았다. 활성 악용이 확인되기 이전 ( 2025년 10월 - 2026년 3월 ) 에 패치하지 않은 조직들은 이미 침해되었을 가능성을 배제할 수 없다. F5는 취약한 버전이 패치된 이후에도 이미 배포된 Brickstorm 백도어나 웹셸이 남아있을 수 있으므로 침해 지표 전수 조사를 권고하였다.

[ 예방 및 대응 조치 ]

[ 즉각적 조치 ]

- 영향을 받는 BIG-IP APM 버전 즉시 패치
- 패치 적용 후에도 F5가 공개한 침해 지표를 사용하여 기존 침해 여부 반드시 검사
- 패치 이전에 이미 취약점이 악용되었을 가능성이 있으므로, 패치 완료가 침해 미발생을 보장하지 않음에 유의

[ 단기 조치 ]

- BIG-IP 시스템의 sys-eicheck  ( 시스템 무결성 검사 도구 )  출력값을 정기적으로 검토하는 절차 수립
- /usr/bin/umount, /usr/sbin/httpd 등 핵심 바이너리의 해시 기반 무결성 모니터링 구성
- BIG-IP 시스템에서 발생하는 아웃바운드 트래픽 패턴을 SIEM에서 지속적으로 분석

[ 장기 조치 ]

- 고영향 인프라 제품  ( 네트워크 엣지, ADC, APM, 방화벽 )  에 대한 CVE 모니터링 절차 강화
- 최초 CVE 분류를 그대로 수용하는 대신, 분류 변경 여부를 추적하고 CISA KEV 등재를 별도의 패치 트리거로 활용하는 프로세스 수립
- 네트워크 엣지 장비의 소프트웨어 공급망 보안 위험  ( 소스코드 탈취를 통한 미공개 취약점 확보 )  을 위협 모델에 포함

[ 컨설팅 커뮤니케이션 전략 ]

[ 비기술 직원 대상 ]

우리 회사 네트워크의 출입문 역할을 하는 장비에서 보안 취약점이 발견됐는데, 처음에는 작은 문제처럼 보였다가 나중에 훨씬 심각한 문제임이 밝혀진 사례다. 이 장비를 빨리 수리하지 않으면 외부 공격자가 네트워크 전체에 접근할 수 있는 문이 열려있는 상태가 된다.

[ 기술팀 대상 ]

이번 사례는 CVE 분류를 수동적으로 수용하는 패치 관리 프로세스의 한계를 보여준다. DoS ( 8.7 ) 등급 취약점을 지연 패치 대상으로 분류한 조직들이 RCE ( 9.8 ) 수준의 위험에 무방비 상태로 노출되었다. F5 BIG-IP 사용 환경에서는 해당 버전 패치 즉시 적용, 침해 지표 전수 조사, 아웃바운드 트래픽 이상 패턴 모니터링, 시스템 무결성 검사 활성화를 순서대로 이행해야 한다. 특히 Appliance 모드도 취약하다는 점을 유의해야 한다.

[ 경영진 대상 ]

이번 사건은 두 가지 공급망 위험을 동시에 보여준다. 첫째는 네트워크 장비 벤더 ( F5 ) 의 소스코드가 국가 지원 위협 행위자에 의해 탈취되어, 그 지식을 기반으로 고객 시스템이 공격받는 구조다. 둘째는 취약점 분류 오류로 인한 패치 우선순위 결정 실패다. 조직은 핵심 인프라 장비 벤더들의 보안 침해 여부를 지속적으로 모니터링하고, CISA KEV 목록을 패치 우선순위 결정의 핵심 기준으로 활용해야 한다.

[ 법무/컴플라이언스 대상 ]

CISA KEV 목록에 포함된 취약점은 연방 기관에 대해 패치 기한이 명시된다. 민간 기업의 경우 법적 패치 의무는 없으나, CISA KEV 등재 이후에도 패치를 지연한 상태에서 침해가 발생한 경우, 규제 당국이나 법원에서 합리적인 보안 조치 미이행의 증거로 활용될 수 있다. PCI DSS, HIPAA 등 규제 대상 환경에서 BIG-IP APM을 사용하는 경우 패치 이행과 그 증빙 보존이 즉시 필요하다.

[ 예상 Q&A ]

Q. 이미 패치했는데 침해 가능성이 있나?

A. 있다. CISA가 KEV에 등재한 시점 이전부터 활성 악용이 진행 중이었을 가능성이 있으며, 패치 적용 이전의 기간 동안 이미 시스템에 웹셸이나 Brickstorm 백도어가 배포되었을 수 있다. 패치 완료 후에도 반드시 F5가 공개한 침해 지표를 통한 사후 점검이 필요하다.

Q. BIG-IP APM을 사용하지 않으면 안전한가?

A. CVE-2025-53521은 BIG-IP APM 가상 서버에 접근 정책이 구성된 경우에만 해당된다. BIG-IP의 다른 모듈 ( LTM, ASM 등 ) 만 사용하는 경우 이번 취약점의 직접적인 영향은 없다. 그러나 F5의 소스코드 탈취 사건에서 발견된 다른 미공개 취약점이 향후 공개될 가능성이 있으므로, BIG-IP 전반에 대한 보안 모니터링을 강화해야 한다.

Q. 취약점 분류가 변경될 경우 어떻게 대응해야 하나?

A. 핵심 인프라 장비에 대한 CVE를 단순히 최초 CVSS 점수로만 추적하는 것이 아니라, 해당 CVE의 재분류 또는 CISA KEV 등재를 실시간으로 알림 받는 모니터링 체계를 구축해야 한다. NVD ( National Vulnerability Database ) API 또는 상용 취약점 인텔리전스 서비스를 활용하면 자동화가 가능하다.

[ 핵심 학습 포인트 ]

- 취약점 분류의 불완전성  -  DoS로 분류된 취약점이 RCE로 재분류될 수 있으며, 이 재분류가 이루어지기 전까지 패치를 지연한 조직들은 실제 위험 수준보다 훨씬 낮은 우선순위로 해당 취약점을 처리하였다. 특히 네트워크 엣지 장비에 위치하는 제품의 취약점은 CVSS 점수 외에 추가적인 맥락을 함께 고려해야 한다.
- 소프트웨어 공급망 보안은 네트워크 장비에도 동일하게 적용된다. 중국 연계 위협 행위자가 F5의 소스코드를 탈취하여 미공개 취약점을 파악한 후 고객 시스템을 공격한 구조는 전통적인 취약점 관리 패러다임이 대응하기 어려운 위협이다.
- CISA KEV 등재는 단순한 참고 자료가 아닌 즉각적 패치 트리거로 활용되어야 한다. KEV 등재 후 3일 내 연방기관 패치 기한이 부여된 이번 사례는 그 긴박성을 보여준다.