텔넷 트래픽 83% 급감 — CVE 공개 6일 전에 무슨 일이?
- 2026년 1월 14일, 글로벌 텔넷 세션이 1시간 만에 65% 감소했다
- GNU Inetutils telnetd 취약점(CVE-2026-24061)이 6일 뒤 공개됐다
- 현재 텔넷 트래픽은 기존 대비 3분의 1 수준이다
1시간 만에 사라진 텔넷 세션 5만 건
2026년 1월 14일 21시(UTC), 글로벌 텔넷 세션이 약 7만 4천 건에서 2만 2천 건으로 급감했다. 2시간 뒤 기준치 대비 83%까지 하락했다[GreyNoise Labs]. 18개 주요 ASN이 완전히 침묵했고, 짐바브웨 등 5개국이 텔넷 데이터에서 사라졌다.
6일 뒤 드러난 루트 셸 탈취 취약점
1월 20일 CVE-2026-24061이 공개됐다. GNU Inetutils telnetd에서 USER 환경변수 처리 시 인수 주입 결함이 존재한다[NVD]. 사용자명으로 -f root를 전송하면 인증 없이 루트 셸을 얻을 수 있다. 1월 26일 CISA가 KEV 목록에 추가했고, 연방 기관은 2월 16일까지 조치해야 한다[CISA].
백본 사업자의 선제 차단 가설
취약점 공개 6일 전에 트래픽이 급감한 이유가 흥미롭다. GreyNoise 연구진은 Tier 1 백본 사업자가 사전 통보를 받고 포트 23 필터링을 적용했을 가능성을 제시했다[GreyNoise Labs]. 클라우드 사업자는 영향이 적었다. AWS 트래픽은 78% 증가, Contabo는 90% 증가했다. 주거용 ISP만 큰 타격을 받았다.
현재 주간 텔넷 세션은 32만 건으로, 12월 초 108만 건 대비 70% 감소했다. 텔넷 퇴장이 가속화된 셈이다. GNU Inetutils 2.7-2 패치나 텔넷 비활성화를 권장한다.
자주 묻는 질문 (FAQ)
Q: CVE-2026-24061은 어떻게 작동하나?
A: GNU Inetutils telnetd가 USER 환경변수를 처리할 때 인수 주입 결함이 있다. 공격자가 사용자명에 -f root를 보내면 인증을 우회하고 루트 셸을 얻는다. 별도 인증 없이 원격으로 서버를 장악할 수 있는 심각한 취약점이다.
Q: 텔넷 대신 무엇을 사용해야 하나?
A: SSH(Secure Shell)가 표준 대체재다. 모든 통신을 암호화하고 키 기반 인증을 지원한다. 텔넷은 평문 전송이라 보안상 오래전부터 권장되지 않았다. 이번 사건은 텔넷을 운용 중인 시스템이 아직 많다는 걸 보여준 사례다.
Q: 일반 사용자에게도 영향이 있나?
A: 대부분 직접적 영향은 없다. 텔넷은 주로 서버 관리와 네트워크 장비 설정에 사용된다. 다만 오래된 IoT 기기나 산업용 장비가 텔넷에 의존할 수 있어, 관리자는 패치나 프로토콜 전환을 검토해야 한다.
이 글이 유용했다면 AI Digester를 구독해주세요.
참고 자료
- The Day the Telnet Died – GreyNoise Labs (2026-02-10)
- CVE-2026-24061 – NVD (2026-01-20)
- Known Exploited Vulnerabilities Catalog – CISA (2026-01-26)