미국 사이버보안 및 인프라 보안국(CISA)은 최근 모든 연방 민간 기관이 오래된 라우터, 방화벽, VPN 게이트웨이 및 스위치를 포함하여 공급업체 지원이 중단된 엣지 네트워크 장비 및 소프트웨어를 포괄적으로 조사하고 제거하도록 요구하는 새로운 라운드의 필수 사이버 보안 지침을 발표했습니다. 규제 당국은 이러한 "수명 종료" 엣지 장치가 국가급 해커가 정부 네트워크에 침투하는 주요 입구 중 하나가 되었으며 제한된 시간 내에 문제를 해결해야 한다고 강조했습니다.
"구속력 있는 운영 지침 26-02"라는 제목의 이 문서는 CISA와 백악관 관리예산국이 공동으로 발행했습니다. 이는 연방 IT 시스템의 두드러진 오랜 약점인 오래되고 패치가 적용되지 않은 네트워크 경계 인프라를 해결하는 것을 목표로 합니다. CISA는 많은 공격에서 공격자가 훔친 자격 증명이나 피싱 이메일에 의존하지 않고 먼저 수년 동안 업데이트되지 않았으며 정부 네트워크에 침투하기 위해 더 이상 유지 관리되지 않는 오래된 라우터와 방화벽을 찾는다고 지적합니다.
새로운 지침에 따라 연방 기관은 제조업체의 지원 주기 내에 있는 장치를 즉시 업데이트해야 하며, 12개월 이내에 지원이 종료된 모든 장치를 교체해야 합니다. 기관은 지침 발효일로부터 3개월 이내에 모든 에지 장치의 철저한 재고를 완료하고 어떤 장치가 제조업체 지원 기간을 초과했는지 표시해야 합니다. 다음 해에 관련 기관은 이러한 "서비스 종료" 장비를 단계적으로 폐기하고 동시에 교체 계획을 개발하여 새로운 장비가 단기간에 다시 보증 기간 만료 상태가 되는 것을 방지해야 합니다.
이 지침은 또한 지원되지 않는 모든 장치를 연방 정부 네트워크에서 완전히 제거해야 하는 18개월의 기한을 설정합니다. "재발"을 방지하기 위해 문서에서는 기관이 청소 후 구식 장비가 조용히 네트워크 환경에 다시 연결되지 않도록 지속적인 추적 메커니즘을 구축할 것을 요구합니다.
CISA 국장 대행 마두 고투무칼라(Madhu Gottumukkala)는 이러한 움직임이 "기한이 지났고" "불가피하다"고 말했다. 수년 동안 CISA는 공격자가 더 이상 보안 업데이트를 받지 못하는 네트워크 장치를 악용하여 이미 최신 엔드포인트 보호 기능을 갖춘 정부 시스템을 침해하는 방법을 모니터링해 왔습니다. CISA 사이버보안 담당 수석보좌관 닉 앤더슨(Nick Andersen)은 국가가 후원하는 해커 조직과 영리를 추구하는 공격 그룹 모두 점점 더 오래된 장비를 표적으로 삼고 오래된 펌웨어의 취약점을 이용해 침입하고 있다고 지적했습니다. 성공하면 네트워크를 통해 측면으로 이동하거나, 데이터를 훔치거나, 중요한 비즈니스 운영을 방해할 수 있습니다.
CISA가 관리하는 알려진 악용 취약점 디렉토리에는 12월에 공개된 단종된 D-Link 라우터와 관련된 취약점을 포함하여 단종된 네트워크 장비와 관련된 여러 공격이 문서화되어 있습니다. 또한 이 기관은 2025년에 중국이 구형 네트워크 장비를 광범위하게 사용하여 사이버 스파이 활동을 수행한 국가 공격을 언급했습니다.
이 지침은 연방 민간 기관에 의무적으로 적용되지만 직접적인 금전적 또는 법적 처벌을 부과하지는 않습니다. CISA와 관리예산국은 진행 상황 추적과 성과 공개 보고를 통해 압력을 가할 예정이지만, 실제로는 기관들이 우선 순위가 높은 보안 작업으로 이러한 "묶음 운영 지침"을 실행하는 경우가 많습니다.
구현 노력을 지원하기 위해 CISA는 제조업체의 지원 수명이 다가오거나 그 이상인 연방 환경에서 일반적으로 발견되는 장치 모델의 내부 "서비스 종료 장치 목록"을 확립했습니다. 보안상의 이유로 이 목록은 잠재적인 공격자에게 표적 단서를 제공하지 않기 위해 공개되지 않습니다. 주 정부, 지방 정부, 민간 기업 등 연방 행정 시스템 외부 기관의 경우 CISA에서는 장비 제조업체와 적극적으로 소통하여 사용하는 장비의 지원 주기와 위험 상태를 이해할 것을 권장합니다.