CVE-2025-53521 취약점의 존재 여부를 확인하려면 운영 중인 F5 BIG-IP APM 버전이 영향을 받는지(17.x, 16.x, 15.x 등) 먼저 파악해야 합니다. 이후 /mgmt/shared/identified-devices/config/device-info 엔드포인트에 대한 스캐닝 흔적이나 ‘Brickstorm’ 웹쉘과 같은 침해 지표(IoC)가 있는지 로그를 통해 검사해야 합니다.
확인 결과 취약점이 존재한다면, 즉시 F5에서 권장하는 수정 버전(예: 17.5.1.3 이상)으로 패치를 적용해야 합니다. 단, 침해 징후가 발견되었다면 기존 백업 사용을 금지하고 시스템 재구축을 수행하여 2차 피해를 방지해야 합니다.
CVE-2025-53521 취약점 심각성 및 현황
CVE-2025-53521은 F5 BIG-IP APM(접근 정책 관리자)에서 발견된 심각한 보안 결함입니다. 원격 공격자가 이 취약점을 악용하면 시스템 권한을 탈취하거나 원격 코드 실행(RCE)이 가능합니다.
초기에는 서비스 거부(DoS) 취약점으로 분류되었으나, 추가 조사를 통해 원격 코드 실행 가능성이 확인되면서 위험도가 대폭 상향 조정되었습니다. 주요 특징은 다음과 같습니다.
- 높은 위험도: CVSS 3.1 기준 9.8점, CVSS v4 기준 9.3점으로 ‘치명적(Critical)’ 등급 판정을 받았습니다.
- 실제 악용 발생: 2026년 3월 현재 실제 공격이 활발히 진행 중이며, CISA(미국 사이버보안 및 인프라보안국)가 KEV(알려진 악용 취약점 카탈로그)에 등재하고 긴급 패치를 지시했습니다.
- 메모리 기반 공격: 디스크 검색을 회피하는 메모리 전용(in-memory-only) 웹쉘이 사용되어 탐지가 어려운 경우가 많습니다.
영향 받는 버전 및 수정 버전 확인
패치를 진행하기 전에 현재 운영 중인 BIG-IP 버전이 취약점의 영향을 받는지 정확히 확인해야 합니다. 특히 인터넷에 직접 노출된 장치는 최우선 확인 대상입니다.
다음은 영향을 받는 주요 버전과 해당 문제를 해결한 수정 버전(Fixed Version)을 정리한 표입니다.
| 제품 버전 브랜치 | 영향을 받는 버전 | 권장 수정 버전 (이상) |
|---|---|---|
| BIG-IP 17.x | 17.5.x | 17.5.1.3 |
| BIG-IP 17.x | 17.1.x | 17.1.3 |
| BIG-IP 16.x | 16.1.x | 16.1.6.1 |
| BIG-IP 15.x | 15.1.x | 15.1.10.8 |
참고: 위 표에 포함되지 않은 다른 버전 브랜치도 영향을 받을 수 있으므로 F5의 공식 보안 권고(Security Advisory)를 반드시 재확인 바랍니다.
CVE-2025-53521 점검 및 패치 가이드: 5단계 체크리스트
효과적인 대응을 위해서는 단순히 패치만 하는 것이 아니라, 침해 여부를 사전에 점검하고 안전하게 업데이트하는 순서를 따라야 합니다. 관리자가 반드시 수행해야 할 5단계 체크리스트입니다.
1. 자산 인벤토리 수행 및 버전 식별
현재 운영 중인 모든 BIG-IP 장비의 목록을 작성하십시오. 위 표를 기준으로 영향을 받는 버전(17.x, 16.x, 15.x 등)을 사용 중인 장치를 정확히 식별해야 합니다. 특히 ‘어플라이언스 모드’라고 해서 안전한 것이 아니므로 모든 배포 환경을 확인해야 합니다.
2. 인터넷 연결 장치 우선 순위 지정
내부 네트워크에 있는 장비보다 인터넷 또는 불신 네트워크에 직접 연결된 BIG-IP APM 장치가 공격에 노출될 확률이 훨씬 높습니다. 해당 장비를 가장 높은 우선순위로 두고 즉시 조치를 취해야 합니다.
3. 침해 지표(IoC) 사전 점검
패치를 적용하기 전에 이미 시스템이 침해당했는지 확인해야 합니다. 다음과 같은 이상 징후가 있는지 로그와 시스템 상태를 면밀히 조사하십시오.
- “Brickstorm” 백도어 설치 흔적
- 메모리 전용 웹쉘 활동 징후
- SELinux가 로컬 사용자에 의해 비활성화된 로그 기록
/usr/bin/umount및/usr/sbin/httpd등 주요 바이너리 파일의 무결성 변경- BIG-IP 장비에서 발생하는 의심스러운 아웃바운드 트래픽
4. 즉시 패치 적용
취약한 버전을 사용 중인 장비에 즉시 위 표의 ‘권장 수정 버전’으로 패치를 적용하십시오. 서비스 중단을 최소화하기 위해 유지보수 기간을 설정하고 패치를 진행해야 합니다.
5. 사후 모니터링 및 재구축 고려
패치 후에도 침해 지표가 남아있는지 재검사를 수행해야 합니다. 침해가 의심되는 장비의 기존 UCS 백업을 그대로 복구하면 악성코드가 다시 로드될 수 있으므로 주의해야 합니다. 악성코드 감염이 확실한 경우, 백업을 사용하는 대신 깨끗한 설치 이미지를 사용하여 구성을 처음부터 다시 빌드(Rebuild)하는 것이 가장 안전합니다.
주의사항: 재구축이 권장되는 경우
단순히 패치만으로는 완전한 제거가 어려운 경우가 있습니다. 특히 메모리 기반의 웹쉘이나 백도어가 설치된 경우에는 파일 시스템 레벨의 복구만으로는 부족할 수 있습니다.
따라서 IoC 점검 결과 1건이라도 의심스러운 점이 발견되었다면, 데이터 손실에 대한 대비 후 시스템 전체를 재구축할 것을 강력히 권장합니다.
결론: 지금 당장 실행해야 할 대응 전략
CVE-2025-53521은 이미 실제 공격이 활발히 진행되고 있는 치명적인 취약점입니다. 단순한 확인을 넘어, 자사의 BIG-IP 장비가 현재 공격자의 스캐닝 타겟이 되고 있을 가능성을 경계해야 합니다.
지금 바로 자산 인벤토리를 확인하고, 인터넷 연결 장비부터 우선순위를 정해 패치를 적용하십시오. 특히 침해 징후가 발견되었다면 과감한 시스템 재구축으로 루트킷이나 백도어의 위험을 근원적으로 차단해야 합니다.
지속적인 보안 위협으로부터 시스템을 안전하게 지키고 싶으시다면, 최신 보안 권고사항을 빠르게 확인하고 적용할 수 있는 관리 방법을 함께 구축해보시기 바랍니다.