
혹시 2023년 ‘CitrixBleed’라는 이름을 들어보신 적 있으신가요? 당시 시트릭스 넷스케일러 장비의 메모리 결함 하나로 MGM리조트를 비롯한 여러 대기업이 랜섬웨어 공격을 당했던, 그해 가장 악명 높았던 취약점 중 하나였습니다. 그런데 2026년 6월, 같은 장비에서 같은 유형의 결함이 또 발견됐고, 공개된 지 하루도 안 돼 실제 공격에 쓰이기 시작했습니다.
이번엔 뭐가 다른가. 이번 결함(CVE-2026-8451)은 넷스케일러의 XML 처리 코드가 특정 조건에서 데이터를 제대로 잘라내지 못하고 장비의 메모리 내용 일부를 HTTP 응답에 그대로 흘려보내는 결함입니다. 이렇게 새어나온 메모리 조각에 로그인 세션 정보 같은 민감한 값이 섞여 있으면, 공격자가 로그인 절차 없이도 이를 주워서 남의 계정처럼 행세할 수 있게 됩니다. CVSS 점수는 8.8점(10점 만점, ‘높음’ 등급)으로 매겨졌습니다. 2023년 원조 CitrixBleed와 결함이 발생하는 코드 위치는 다르지만, “메모리가 새어나온다”는 근본 유형은 같아서 같은 이름으로 불리고 있습니다.
발견부터 공개까지 걸린 시간도 눈여겨볼 만합니다. 보안 연구팀 watchTowr의 연구원이 지난 3월 말 다른 취약점을 조사하다가 우연히 이 결함을 찾아 시트릭스에 제보했고, 시트릭스는 5월 초 패치 개발을 확정했다고 밝혔습니다. 그리고 6월 30일 정식 패치가 공개됐는데, 바로 다음 날부터 실제 공격 시도가 포착됐습니다. 영향을 받는 버전은 NetScaler ADC/Gateway 14.1(14.1-72.61 이전)과 13.1(13.1-63.18 이전) 중 SAML 인증 서버로 설정된 경우이며, 이미 최신 버전으로 업데이트했다면 이 결함에서는 벗어난 상태입니다.
지금 확인해볼 것
- 회사에서 넷스케일러(NetScaler ADC/Gateway)를 SAML 인증 연동 용도로 쓰고 있다면, IT 부서에 6월 30일 이후 배포된 패치가 적용됐는지 즉시 확인하세요.
- 패치 적용이 늦어졌다면, 시트릭스가 안내하는 임시 완화 조치(SAML IdP 설정 해제 등)를 먼저 검토하세요.
- 2023년 CitrixBleed 때처럼 세션 정보가 새어나가는 유형이므로, 패치 이후에도 기존 로그인 세션을 강제로 초기화하는 걸 권장합니다.
- 회사 계정에 평소와 다른 위치·기기에서의 로그인 이력이 있는지 주기적으로 점검하는 습관을 들이세요.
시사점
같은 장비에서 같은 유형의 결함이 3년 만에 재발했다는 사실 자체가 눈여겨볼 지점입니다. 특히 이번엔 공개 당일도 아니고 ’24시간 이내’에 실공격이 확인됐다는 점에서, 패치 공지를 보고 나서 대응을 검토하기 시작하면 이미 늦을 수 있다는 걸 보여줍니다. 네트워크의 관문 역할을 하는 장비일수록, 벤더의 패치 공지가 뜨는 즉시 최우선으로 처리하는 원칙이 필요합니다.