텔넷이 사라진 날

• 2026년 1월 14일 21시(UTC)에 전 세계 텔넷 트래픽이 급격히 붕괴, GreyNoise 관측망에서 59%의 지속적 감소가 확인됨
• 18개 ASN이 완전히 침묵하고, 5개국(짐바브웨·우크라이나·캐나다·폴란드·이집트) 의 트래픽이 완전 소멸
• 주요 클라우드 사업자(AWS·Contabo 등)는 오히려 증가, 반면 북미 지역 ISP는 대규모 감소
• 6일 뒤 GNU Inetutils telnetd의 인증 우회 취약점(CVE-2026-24061) 공개, 루트 권한 획득이 가능한 치명적 결함으로 확인
• 업계는 백본 수준의 포트 23 필터링이 사전 통보에 따른 조치일 가능성을 주목하며, 텔넷의 종말을 상징하는 사건으로 평가

전 세계 텔넷 트래픽 붕괴

• 2026년 1월 14일 21시(UTC)에 GreyNoise Global Observation Grid가 텔넷 트래픽의 급격한 붕괴를 감지
  • 1시간 전 약 74,000세션에서 다음 시간 22,000세션으로 65% 급감
  • 두 시간 후에는 83% 감소한 11,000세션 수준으로 하락 후 유지
• 2025년 12월~2026년 1월 초까지의 평균 일일 세션 91만 건 대비, 이후 37만 건 수준으로 59% 감소
• 변화는 점진적 감소가 아닌 단일 시점의 급격한 단절(스텝 함수형 변화) 로, 라우팅 인프라 설정 변경 가능성 시사

침묵한 네트워크와 국가

• 18개 ASN이 1월 15일 이후 텔넷 트래픽 ‘0’으로 전환
  • Vultr(AS20473) 38만 건 → 0, Cox Communications(AS22773) 15만 건 → 0
  • Charter/Spectrum(AS20115), BT/British Telecom(AS2856) 등 포함
• 5개국(짐바브웨, 우크라이나, 캐나다, 폴란드, 이집트) 의 트래픽 완전 소멸
• 반면 AWS 78% 증가, Contabo 90% 증가, DigitalOcean +3% 유지
  • 클라우드 사업자는 사설 피어링망을 통해 백본 필터링 영향 회피

포트 23 필터링의 가능성

• 패턴상 북미 Tier 1 트랜짓 사업자가 포트 23 필터링을 적용한 정황
  • 시점이 미국 동부시간 16시로, 미국 내 유지보수 시간대와 일치
  • Cox, Charter, Comcast(-74%) 등 미국 ISP가 큰 타격
  • Verizon/UUNET(AS701) 79% 감소, 주요 백본 사업자로서 필터링 주체 혹은 상위 경로 가능성
• 유럽 직접 피어링 국가(프랑스 +18%, 독일 -1%) 는 영향 미미
• 중국 통신사(China Telecom, China Unicom) 모두 59% 감소
  • 균일한 감소율은 미국 측 태평양 횡단 링크에서의 필터링 가능성 시사

CVE-2026-24061 취약점 공개

• GNU Inetutils telnetd의 인증 우회 취약점, CVSS 9.8 등급
  • USER 환경변수 처리 중 인자 주입으로 -f root 전달 시 인증 없이 루트 셸 획득 가능
  • 2015년 커밋에서 도입되어 약 11년간 미발견 상태
• 주요 일정
  • 1월 14일: 텔넷 트래픽 붕괴 시작
  • 1월 20일: CVE 공개
  • 1월 21일: NVD 등재 및 첫 악용 관측
  • 1월 26일: CISA KEV 목록 추가
• 트래픽 붕괴가 CVE 공개 6일 전 발생, 단순한 우연 이상의 연관 가능성 제기

사전 통보와 인프라 대응 가설

• 취약점 제보자는 Kyu Neushwaistein / Carlos Cortes Alvarez, 1월 19일 보고로 알려짐
• 패치 준비·CISA 대응이 공개 하루 만에 이루어진 점에서 사전 조율 가능성 존재
• GreyNoise는 다음 시나리오를 제시
  • 주요 인프라 운영자가 사전 통보를 받고 포트 23 필터링을 선제 적용
  • 1월 14일 필터링 가동 → 1월 20일 공개 → 1월 26일 CISA 등록
• 명확한 증거는 없으며, 단순한 시기적 일치일 가능성도 언급

이후의 텔넷 트래픽 양상

• 1월 14일 이후 톱니형 패턴 지속
  • 예: 1월 28일 80만 세션 → 1월 30일 19만 세션
  • 간헐적 필터링, 라우팅 변동, 특정 스캐너 캠페인 가능성
• 주간 평균
  • 1월 19일 주: 36만 세션(기준 대비 40%)
  • 2월 2일 주: 32만 세션(35%)
• 기준 대비 약 1/3 수준으로 안정화, 여전히 감소 추세

보안 및 운영상의 시사점

• GNU Inetutils telnetd 사용자는 즉시 2.7-2 이상으로 업데이트 또는 서비스 비활성화 필요
  • CISA는 2026년 2월 16일까지 연방기관 패치 마감
  • 공개 직후 수 시간 내 악용 시도 관측, 2월 초 일일 2,600세션까지 증가 후 감소
• 네트워크 운영자는 포트 23 필터링 검토 필요
  • 백본 수준에서 이미 필터링이 진행 중이며, 텔넷 트래픽은 더 이상 가치 없는 프로토콜로 간주
• GreyNoise는 “누군가 인터넷의 상당 부분에서 텔넷을 끊었다”는 사실을 기록하며,
  텔넷 시대의 종말을 상징하는 사건으로 평가