긴급: 80만 개 텔넷 서버 원격 공격 취약점 노출, 심각한 보안 위협

**80만 개 텔넷 서버, 원격 공격 취약점에 노출

** 인터넷 보안 모니터링 기관인 **섀도서버 재단(Shadowserver Foundation)**이 80만 개에 가까운 IP 주소에서 텔넷(Telnet) 서비스가 노출되어 원격 공격에 취약한 상태임을 확인했다. 이 위협은 GNU InetUtils telnetd 서버에 존재하는 중대한 인증 우회 취약점을 악용하며, 텔넷 프로토콜의 대표적인 구현체 중 하나로 널리 사용되고 있다.

취약점의 기술적 세부 사항

이 취약점은 CVE-2024-XXXX(정확한 CVE는 확정 대기 중)로 추적되며, 취약한 텔넷 데몬(telnetd) 인스턴스에서 인증 메커니즘을 우회할 수 있는 문제다. 텔넷은 원격 명령줄 접근을 위한 레거시 네트워크 프로토콜로, 데이터(자격 증명 포함)를 **평문(plaintext)**으로 전송하기 때문에 가로채기 및 악용에 취약한 고위험 벡터로 간주된다.

섀도서버의 스캔 결과, 796,000개의 고유 IP 주소가 텔넷 핑거프린트에 응답했으며, 이는 활성 노출 상태임을 나타낸다. 모든 인스턴스가 GNU InetUtils telnetd를 실행하는 것은 아니지만, 노출된 서비스의 규모는 잠재적 공격 표면에 대한 심각한 우려를 제기한다.

영향 및 위험성

• 무단 접근: 공격자는 취약한 시스템의 원격 제어 권한을 획득해 데이터 유출, 내부 이동(lateral movement), 또는 악성코드 배포가 가능해진다.
• 자격 증명 탈취: 텔넷을 통한 평문 전송은 중간자 공격(Man-in-the-Middle, MitM) 위험을 높인다.
• 봇넷 감염: 노출된 텔넷 서버는 IoT 봇넷(예: Mirai 변종)의 주요 표적이 되며, 약한 또는 기본 자격 증명을 악용해 확산된다.

보안 팀을 위한 권고 사항

1. 텔넷 비활성화: 텔넷을 **SSH(Secure Shell)**로 대체하여 모든 통신을 암호화하고 강력한 인증 방식을 지원하도록 한다.
2. 네트워크 세분화: 텔넷 서비스를 방화벽 또는 VPN 뒤에 격리해 신뢰할 수 있는 네트워크로만 접근을 제한한다.
3. 패치 관리: GNU InetUtils telnetd에 대한 업데이트가 릴리스되는 즉시 적용하고(CVE-2024-XXXX 모니터링), 취약점을 신속히 해결한다.
4. 공격 탐지: **침입 탐지 시스템(IDS)**을 배포해 비정상적인 텔넷 트래픽 또는 인증 시도를 감지한다.
5. 노출 서비스 감사: Shodan 또는 섀도서버 보고서를 활용해 노출된 텔넷 인스턴스를 식별하고 조치한다.

보안 전문가들은 텔넷 서비스의 노출이 기업 및 IoT 환경에 체계적 위험을 초래하고 있으므로, 대응 노력을 우선시해야 한다고 강조한다.