- 불완전한 패치가 해킹 경로 제공: 적시에 패치하지 않은 SonicWall Gen6 장비가 랜섬웨어 침투의 통로로 악용됨
- MFA(다중 인증) 우회 성공: 취약점을 활용한 해커들이 실제 인증 체계 무력화 과정을 거쳐 내부 네트워크에 침투함
- 근본적 패치 관리 필요: 단순한 보안 패치 적용이 아닌, 체계적이고 반복적인 패치 프로세스의 중요성 대두
알려진 취약점도 제대로 관리하지 않으면 최첨단 보안 장비도 기업을 위협에 노출시킬 수 있습니다.
2. 사건 개요 및 보안 사고 현황
보안 커뮤니티에서 우려가 커지고 있다. SonicWall Generation 6(Gen6) SSL-VPN 장비의 다중 인증(MFA) 절차가 우회되어 기업 네트워크에 침투하는 대규모 보안 사고가 발생한 것이다. 보안 연구자와 SonicWall 측은 해당 취약점이 장기간 방치된 환경에서 실제로 악용되고 있다는 점을 공식적으로 인정했으며, 최근 몇 달 사이 미국, 유럽 등 여러 지역의 기업에서 피해 사례가 보고되고 있다.
3. SonicWall Gen6의 MFA 취약점 내용 및 경로
SonicWall Gen6 SSL-VPN 장비는 원격 근무 환경에서 광범위하게 사용되는 보안 장비다. 그러나 이 장비에는 2021년과 2022년에 공개된 여러 보안 취약점(CVE)이 존재하며, 이들 취약점에 대한 패치가 불완전하게 적용된 환경에서 공격이 발생한 것으로 확인됐다.
공격의 주요 경로는 다음과 같다. 먼저, 해커들은 브루트포스(무차별 대입) 기법을 이용해 VPN 자격 증명을 확보한다. 이어서 SonicWall Gen6 장비의 MFA 인증 과정에서 알려진 취약점을 악용해 다중 인증 절차를 우회하는 데 성공했다. 이 과정에서 CVE-2021-20020 등 여러 취약점이 조합되어 활용된 것으로 분석된다.
4. 패치 관리의 허점과 실제 공격 성공 과정
이번 사고의 핵심은 단순히 취약점이 존재했다는 데 있지 않다. SonicWall은 이미 관련 CVE 취약점에 대한 패치를 공개했지만, 많은 기업들이 해당 패치를 완전히 적용하지 않은 상태로 장비를 운용한 점이 문제로 지목된다.
미국 사이버 보안·인프라 기관(CISA)의 Known Exploited Vulnerabilities Catalog에도 해당 취약점들이 등재되어 있음에도, 기업들은 보안 패치의 중요성을 충분히 인식하지 못한 채 방치해왔다. 복잡한 네트워크 환경에서 패치 적용이 지연되거나, 일부 설정만 변경하고 완전한 업그레이드를 실시하지 않은 경우도 다수 확인된다.
5. 해커의 공격 방법론 분석
보안 전문가들의 분석에 따르면, 이번 공격에 사용된 해킹 방법론은 정교하고 다단계적이다.
첫째, 브루트포스 공격을 통한 초기 침투다. 자동화 도구로 VPN 접속 자격 증명을 무차별적으로 대입해 약하거나 재사용된 비밀번호 계정부터 집중적으로 공격한다.
둘째, MFA 우회 기법의 활용이다. 확보한 자격 증명을 바탕으로 인증 과정을 시도하는 과정에서 Gen6 장비 MFA의 취약점을 이용해 인증 요청을 중간에서 가로채거나 우회했다.
셋째, 악성 도구 배포 단계다. 내부 네트워크에 침투한 후 해커들은 랜섬웨어를 비롯한 다양한 악성 도구를 배포해 후속 공격 기반을 마련하는 동시에, 기업 데이터 암호화 및 금전적 갈취를 노렸다.
6. 실제 기업 피해 사례와 업계 영향
현재까지 미국, 유럽 등 다양한 지역의 기업들이 공격 피해를 보고했다. 피해 규모와 세부 피해액 정보는 공개되지 않았으나, 랜섬웨어 감염 특성상 금전적 손실과 업무 중단 등 심각한 타격이 우려된다.
이번 사건은 보안 장비 제조사인 SonicWall의 신뢰성에도 의문을 제기한다. Gen6 시리즈에서만 공격이 집중된 점은 해당 시리즈의 구조적 한계 또는 패치 설계의 미흡함을 보여준다. 반면, SonicWall의 최신 제품군에서는 해당 취약점이 발견되지 않아 최신 보안 체계로의 전환 필요성을 함께 시사한다.
7. SonicWall의 대응 내용과 권고 사항
SonicWall은 긴급 보안 공지로 다음과 같은 조치를 강력히 권고했다.
- 최신 펌웨어 패치 적용: Gen6 SSL-VPN 장비를 사용하는 모든 고객에게 최신 보안 패치 즉시 적용 권고
- VPN 서비스 비활성화 검토: 필요하지 않은 환경에서는 일시적으로 VPN 서비스 중단 권장
- 별도 MFA 솔루션 도입: 내장 MFA 신뢰도가 낮을 경우 별도의 다중 인증 솔루션 도입 적극 검토
- 계정 설정 강화: 관리자 계정 복잡한 비밀번호 사용, 비밀번호 주기적 변경, 불필요 계정 즉시 비활성화 등 강조
8. 향후 시사점 및 보안 유지 강화 방안 제언
이번 SonicWall VPN 사고는 기업들의 패치 관리 체계에 대한 근본적 재점검이 필요함을 보여준다.
첫째, 패치 적용의 적시성이 중요하다. 보안 취약점이 공개되면, 가능한 한 신속하게 패치를 적용해야 한다. 특히 실제로 악용사례가 있는 취약점의 경우 즉각적인 조치가 필수다.
둘째, MFA 도입 방식의 재검토 필요. 단일 장비의 내장 MFA에 과도하게 의존하지 말고, 네트워크 계층에 걸친 다단계 인증 체계를 구성하는 것이 바람직하다.
셋째, 지속적인 모니터링과 감시 강화. 패치 이후에도 비정상 접근이나 이상 징후가 없는지 꾸준히 모니터링하고 로그 분석을 통한 빠른 탐지 체계를 운영해야 한다.
보안은 단발성이 아닌, 꾸준한 관리·대응이 생명이다. 알려진 취약점도 관리가 소홀하면 첨단 보안 장비 역시 기업 전체를 위험에 빠뜨릴 수 있다. 체계적 패치와 실질적인 보안 정책이 현장에서 작동해야 한다.
- 패치 적용 및 검증 자동화: 비정기 수동 업데이트가 아닌, 자동화된 패치 적용 시스템 도입 필요
- MFA 솔루션 이중화: 한 가지 다중 인증 체계에 과도한 의존보다는 외부 인증 서비스 도입 검토
- 실시간 이상징후 모니터링: 침입 시도, 비정상 접속 횟수에 대한 실시간 알림 체계 강화