BIND 9 치명적 취약점(CVE-2025-40778) — 전세계 70만대 이상 노출, 긴급 패치 필요

by 이스트시큐리티 마케팅팀

 

 

안녕하세요, 이스트시큐리티입니다.

 

BIND 9의 DNS 리졸버에서 ‘캐시 오염(Cache Poisoning)’을 유발하는 치명적 취약점 CVE-2025-40778이 공개되었습니다. Censys 집계에 따르면 취약 노출 인스턴스가 약 706,000대 이상으로 보고되었으며, Internet Systems Consortium(ISC)은 즉시 최신 패치 적용을 권고했습니다. 이 취약점은 원격에서 악용 가능하고, 개념증명(PoC, Proof-of-Concept) 코드가 공개되면서 실제 악용 위험이 높아진 상태입니다.

 

 

 

 

🔎 BIND 9 취약점 개요

▪︎ 취약점명: CVE-2025-40778 (BIND 9 리졸버 캐시 오염)

▪︎ 심각도: CVSS 8.6 (High)

▪︎ 영향 범위: BIND 9 버전 9.11.0 이후 다수 버전

▪︎ 기술 요지: DNS 리졸버(도메인 이름을 IP 주소로 변환해 주는 서버)가 응답 메시지에 포함된 리소스 레코드(RR, DNS 응답에 포함되는 항목)를 충분히 검증하지 못해, 원래 요청과 무관한 레코드가 캐시에 저장될 수 있음. 이로 인해 악성 주소가 캐시에 주입되는 ‘캐시 오염’이 발생할 수 있다.

▪︎ 노출 규모: Censys 기준 약 706,000대 이상 노출

▪︎ PoC 공개: 취약성 공개 직후 GitHub에 개념증명(PoC) 코드가 공개됨

▪︎ 권고 패치 버전: 9.18.41, 9.20.15, 9.21.14 이상으로 업그레이드 권장

 

출처: ISC 공식 보안 권고 https://kb.isc.org/docs/cve-2025-40778 

 

 

🔵 왜 위험할까?

▫️ 트래픽 변조

  캐시가 오염되면 정상 도메인 요청에 대해 공격자가 조작한 악성 IP로 응답될 수 있습니다. 이 경우 사용자는 의도치 않게 피싱 사이트나 악성 사이트로 유도될 수 있습니다.

 

▫️ 광범위 영향

  DNS는 인터넷 트래픽의 핵심 인프라입니다. 리졸버가 오염되면 다수의 사용자와 서비스에 연쇄적인 영향을 미칠 수 있습니다.

 

▫️ 원격·비인증 악용 가능성

  특별한 권한이나 인증 없이 원격에서 악용될 가능성이 있어, 공격 난이도가 낮은 편입니다.

 

▫️ PoC 공개 우려

  공개된 개념증명 코드는 공격자들에게 실제 악용 코드를 작성하는 데 도움이 될 수 있으므로, 위험 수위가 높아졌습니다.

 

 

 

🔵  권고 사항 (운영자·호스팅사·ISP 대상)

☑︎ 즉시 패치 적용

ISC 권고 버전(9.18.41, 9.20.15, 9.21.14 이상)으로 가능한 한 빠르게 업그레이드하세요.

 

☑︎ 리졸버 공개 노출 점검

내부 및 외부 DNS 리졸버의 공개 노출 여부를 확인하고, 인터넷에 노출된 리졸버는 접근 제어(ACL)로 보호하거나 비공개로 전환하세요.

 

☑︎ DNS 응답 무결성 확인

가능하다면 DNSSEC(Domain Name System Security Extensions) 도입을 검토해 응답 무결성을 강화하세요.

 

☑︎ 모니터링 강화

비정상적 DNS 응답(요청과 무관한 리소스 레코드 포함)을 탐지하는 룰을 추가하고 로깅을 활성화해 이상 징후를 조기에 포착하세요.

 

☑︎ PoC 샘플 처리 지침

공개된 PoC 샘플은 안전한 격리 환경(오프라인 샌드박스)에서만 분석하고, 일반 환경에서는 실행하지 마십시오.

 

 

 

🔵 개인·기업 사용자를 위한 권고 사항

☑︎ 서비스 제공자 확인

사용 중인 DNS 서비스(호스팅·ISP 등)에 취약점 패치가 적용되었는지 확인 요청하세요.

 

☑︎ DNSSEC 및 신뢰 체계 점검

가능하면 DNSSEC을 도입하거나 DNS 응답 검증 기능을 활성화해 응답의 무결성을 확보하세요.

 

☑︎ 의심 사이트 주의

브라우징 중 의심스러운 리디렉션이나 인증서 경고가 발생하면 즉시 접속을 중단하고 관리자에게 신고하세요.

 

 

🔵 네트워크 운영자를 위한 10분 점검 체크리스트!

 

 

우선 운영 중인 모든 BIND 9 인스턴스의 버전을 신속히 파악하고(각 인스턴스별로 실행 중인 버전 목록화), 권고 패치 버전으로의 업그레이드 계획을 즉시 수립해 배포 일정(테스트 → 단계적 롤아웃 → 전사 적용)을 잡으세요. 동시에 외부(퍼블릭) 리졸버의 노출 여부를 점검해 인터넷에서 접근 가능한 리졸버는 차단하거나 접근 제어(ACL)를 적용하고, 내부 전용으로 전환할 것을 권장합니다.

 

더불어 DNS 로그와 모니터링 규칙에 ‘요청과 무관한 리소스 레코드(RR)’나 비정상 응답을 탐지하는 룰을 추가해 이상 징후를 조기에 포착하도록 설정하고, 마지막으로 주요 고객·서비스 담당자에게 패치 권고와 적용 일정, 임시 대응 지침을 포함한 공지를 발송해 관련 이해관계자들이 동시에 대응할 수 있도록 하십시오.

 

 

🔎 BIND 9의 리졸버는 응답 속도를 높이기 위해 응답을 캐시에 보관합니다. 본 취약점은 응답 메시지에 포함된 리소스 레코드(RR)를 충분히 검증하지 않아, 악성 응답이 정당한 것으로 간주되어 캐시에 저장되는 상황을 초래합니다. 이후 동일 도메인 요청 시 오염된 캐시가 응답되면 접속자가 공격자가 지정한 IP로 유도됩니다. DNS는 인터넷의 핵심 서비스이므로 이러한 캐시 오염은 광범위한 피해로 이어질 수 있습니다.

 

 

---

 

BIND 9의 캐시 오염 취약점은 인터넷 인프라 전반에 미칠 파급력이 큽니다. 서비스 운영자는 즉시 버전 점검과 패치 적용을 실시하고, DNS 응답 무결성(가능하면 DNSSEC)과 접근 제어를 강화하시기 바랍니다. 개념증명 코드 공개로 악용 가능성이 상승했으므로, 빠른 대응이 필요합니다.

 

작은 취약점도 큰 피해로 이어질 수 있으니 오늘부터 DNS 보안 점검을 시작하시기 바랍니다. 이스트시큐리티는 보안 관련한 도움이 필요한 기업 고객을 위한 무료 보안 컨설팅을 제공해드립니다. 우리 기업에 맞는 보안 솔루션이 궁금하시다면 아래 배너를 클릭해주세요.

 

 

 

 

 

---

[참고 출처]

• ISC(Internet Systems Consortium) 권고 및 보안 공지(패치 버전 안내)
• Censys 집계 보고 (취약 노출 인스턴스 수)
• Cyber Security News (Link) / BleepingComputer 등 보안 매체 보도