[뉴스에프엔 김익수 기자] Erlang/OTP의 SSH 서버 구현에서 최대 치명도(CVSS 10.0)의 취약점이 발견되며 전 세계 고가용성 시스템에 비상이 걸렸다. 공격자는 인증 없이도 원격으로 임의의 코드를 실행할 수 있으며, 루트 권한으로 SSH 데몬이 실행 중일 경우 시스템 전체 장악도 가능하다.
최근 외신을 종합하면 문제의 취약점은 CVE-2025-32433으로, 독일 보훔 루르대학교의 보안 연구진이 이를 공개했다.
이들은 “SSH 서버에 네트워크 접근만 가능한 공격자가 사전 인증 없이 코드 실행이 가능하며, 민감 정보 탈취, 서비스 거부(DoS), 랜섬웨어 감염 등이 초래될 수 있다”고 경고했다.
이 취약점은 SSH 연결 초기 단계에서 인증 이전 메시지 처리의 허점에서 비롯됐다. 공격자는 이 취약점을 활용해 SSH 데몬의 권한으로 악성 명령을 실행할 수 있으며, 특히 데몬이 루트 권한으로 구동 중일 경우 시스템 제어권 전체를 탈취할 수 있다.
Erlang은 고성능 동시성 처리에 강점을 가진 언어로, 통신 시스템, IoT, OT 장비 등 다양한 고가용성 시스템에서 널리 사용된다. Cisco와 Ericsson 장비 대부분에 적용되어 있으며, 엣지 컴퓨팅 장비 및 리모트 서비스에도 포함되어 있다.
보안업체 Qualys의 연구 책임자인 마유레쉬 다니(Mayuresh Dani)는 “이 취약점은 랜섬웨어 설치, 내부망 확장, 정보 유출 등 고도화된 사이버 공격의 진입점이 될 수 있다”며 “업데이트 지연 시, SSH 포트를 제한된 사용자만 접근 가능하도록 설정해야 한다”고 강조했다.
이번 취약점의 영향을 받는 시스템은 Erlang/OTP SSH 라이브러리를 사용하는 모든 서버다. 현재 해당 취약점은 OTP-27.3.3, OTP-26.2.5.11, OTP-25.3.2.20 버전에서 해결되었으며, 즉시 보안 패치가 권장된다. 또한 일시적 대응으로는 방화벽을 통해 접근 제어를 강화하는 방법도 있다.