지난해 룩셈부르크에서 발생한 전국적인 통신 마비는 화웨이 라우터 소프트웨어의 제로데이 취약점으로 인해 비난을 받았습니다.

이 문제에 정통한 복수의 소식통에 따르면 지난해 룩셈부르크 국가 통신망의 넓은 지역을 마비시킨 대형 사건은 공격자들이 이전에 공개되지 않은 화웨이 기업 라우터 소프트웨어의 제로데이 취약점을 악용해 발생했으며, 이로 인해 전국 이동 통신, 유선 전화, 비상 연락 시스템이 3시간 이상 중단됐다. 이 취약점은 공개 채널에 공식적으로 공개된 적이 없으며 전 세계적으로 허용되는 취약점 라이브러리에 CVE 번호가 할당되지도 않았습니다. 유사한 장비를 운영하는 다른 통신 사업자는 공개 경고를 받지 않았습니다.

POST Luxembourg는 사고의 직접적인 영향을 받은 운영자입니다. 룩셈부르크 주정부가 관리하는 통신 회사입니다. 회사의 커뮤니케이션 책임자인 폴 라우쉬는 이번 사건이 "비공개적이고 문서화되지 않은 시스템 동작"을 악용한 네트워크 장비에 대한 서비스 거부(DoS) 공격이었다고 말했습니다. 사건 당시 사용 가능한 패치가 없었으며 "알려졌거나 이전에 문서화된 취약점과 관련이 없습니다." 그는 화웨이가 POST에 이전에 고객 네트워크에서 유사한 공격을 받은 적이 없으며 기성 솔루션이 없다고 말했습니다.

기밀 브리핑을 받은 여러 소식통은 이 사건을 제로데이 공격으로 묘사했습니다. 현재 동일한 공격이 다시 발생했다는 증거는 없지만, 이 결함의 기술적 원인은 아직 공개적으로 설명되지 않았으며 화웨이는 관련 문제를 긍정적으로 인정한 적이 없습니다. 보도에 따르면 화웨이는 기사 게재 전 기자들로부터 상세한 문의를 받았지만 아무런 답변을 하지 않았다.

사고는 2025년 7월 23일 자정 무렵에 발생했다. 당시 POST의 유선망과 4G, 5G 이동통신망이 동시에 마비돼 사고가 지속되는 동안 수십만 명의 주민이 긴급 통화를 할 수 없는 상황이 됐다. 조사에 따르면 이는 화웨이 엔터프라이즈 라우터를 지속적인 재부팅 루프에 가두어 POST 코어 네트워크의 주요 노드를 반복적으로 충돌시켜 전국적인 통신 중단을 유발하는 신중하게 조작된 네트워크 트래픽에 의해 촉발된 것으로 나타났습니다. 사건 발생 3시간여 만에 네트워크는 점차 복구됐고, 국내 긴급콜센터에는 단시간에 수백 통의 신규 전화가 접수됐다.

사건 당시 룩셈부르크 정부는 이번 사건을 “비정상적으로 발전하고 정교한 사이버 공격”이라고 표현했다. POST는 이 진술이 주로 취약점을 악용하는 데 필요한 기술적 능력을 의미하며 전통적인 의미에서 트래픽 피크로 시스템을 압도하는 대규모 DDoS 공격이 아니라고 밝혔습니다. 정부는 당초 이 사건을 분산 서비스 거부(DDoS) 공격으로 규정했지만, 이후 POST는 이것이 핵티비스트나 사이버 범죄자가 일반적으로 사용하는 대량 트래픽 공격 기술과 동일하지 않다고 밝혔습니다.

룩셈부르크 검찰 대변인은 경찰과 사이버 보안 전문가들이 실시한 조사에서 "위조된 데이터"가 인터넷 서비스 제공업체인 POST를 통해 전송되었으며 이 데이터가 "모든 대상 서버에 대한 공격을 시작하는 데 사용될 수 있다"는 사실을 발견했다고 밝혔습니다. 하지만 이번 사건에서는 데이터가 정상적으로 전달되지 않고 POST 시스템의 비정상적인 동작을 유발하여 작동을 멈추고 다시 시작하는 현상이 발생했습니다. 룩셈부르크 국가보호고등판무관실 대변인은 최종 조사 결과 "이번 공격이 POST 룩셈부르크를 특정 표적으로 삼아 고의적으로 시작됐다는 증거는 없다"고 밝혔다. 형사 고발은 제기되지 않았습니다.

위의 조사 결과는 악의적으로 구축된 네트워크 트래픽이 인터넷을 통과할 때 POST 인프라를 "통과"한 것이 전국적인 마비의 원인일 수 있음을 나타냅니다. 하지만 화웨이 라우터는 기존 장비처럼 단순히 데이터를 전달하는 것이 아니라, 알려지지 않은 장애 상태를 유발해 장비 작동을 멈췄다가 다시 시작하는 일을 반복해 전국적인 사건으로 증폭됐다. 보고서는 화웨이가 자체 개발한 VRP 네트워크 운영 체제가 CVE-2021-22359 및 CVE-2022-29798과 같이 과거 신중하게 구성된 프로토콜 트래픽과 관련된 서비스 거부 취약점을 경험했다고 지적했습니다. 다른 대규모 네트워크 장비 제조업체의 제품에도 유사한 결함이 나타났습니다. 잘못된 형식의 트래픽으로 인해 장비 충돌, 반복적인 재로드가 발생할 수 있으며 일상적인 통신을 처리할 때 원격 침입이 발생할 수도 있습니다. 그러나 POST는 룩셈부르크 사건이 이전에 공개된 화웨이 취약점과 관련이 없다고 강조했습니다.

보고서는 또한 더 광범위한 "공개 격차" 문제에 초점을 맞췄습니다. 최근 몇 년 동안 Huawei는 여전히 일부 소비자 제품에 대해 CVE 번호를 제출했지만 기업 수준 네트워크 소프트웨어에 대한 공개 취약성 정보는 점점 부족해졌습니다. 기존 공개 사례의 대부분은 제조업체가 사전에 공개하기보다는 독립적인 보안 연구원에 의해 공개되었습니다. 회사는 여전히 고객에게 기업 보안 권고를 발행하고 있지만 이러한 권고는 업계 전반의 공개 권고가 아닌 제한된 고객 포털을 통해서만 제공됩니다. 예를 들어 화웨이는 지난달 CVE 번호 없이 포털을 통한 패킷 구문 분석과 관련된 서비스 거부 취약점에 대한 보안 권고를 발표했습니다. 현재 이 발표가 룩셈부르크 사건과 관련이 있다는 증거는 없습니다.

공격 이후 룩셈부르크는 사건의 원인을 파악하기 위해 화웨이와 일련의 기술 회의를 가졌습니다. 룩셈부르크의 사이버 보안 당국은 또한 기존 정부 협력 채널을 통해 유럽 전역의 협력적 비상 대응 팀에 관련 상황을 전달합니다. 그러나 현재까지 이 중요한 제로데이 취약점에 대해 공식적으로 제출된 CVE는 없으므로 글로벌 사이버 보안 커뮤니티는 완전한 공개 경고를 받지 못했습니다.

CVE 번호 제출 책임이 누구에게 있는지에 대해 룩셈부르크 국립고등판무관실 대변인은 공통 공개 절차에 따라 결정은 제조업체에 있다고 말했습니다. POST는 회사가 관련 당사자에게 기술 정보를 제공했지만 이를 외부 세계에 공개하는 방법을 결정할 권한이 없다고 말했습니다. 보고서는 화웨이가 전국 통신을 방해하는 취약점에 대한 CVE를 공개하지 않은 이유에 대한 문의에 응답하지 않았다고 지적했습니다. 사건 발생 10개월이 지난 지금도 외부 세계는 취약점이 완전히 패치되었는지, 전 세계에서 얼마나 많은 통신업체가 위험에 노출되었거나 여전히 위험에 노출되어 있는지, 현재 유사한 화웨이 시스템을 실행 중인 네트워크 장비에 여전히 숨겨진 위험이 있는지 여부를 알지 못합니다.