다수 해킹 조직이 SonicWall SSL VPN 장비를 통한 침투 공격을 지속적으로 수행하고 있는 정황이 보안 업계에 지속적으로 보고되고 있다. 특히 최근에는 OTP 기반 다단계 인증(MFA)이 적용된 계정에서도 정상 로그인이 이뤄진 사례가 확인되면서, 인증 우회 가능성에 대한 우려가 커지고 있다.
SonicWall은 내부 조사 결과 이러한 공격이 이미 알려진 취약점인 CVE-2024-40766을 악용하고 있다고 발표했다. 이 취약점은 2024년 8월 보안 패치를 통해 수정되었지만, 당시에 탈취된 자격 증명 정보를 여전히 공격에 사용하고 있는 상황이다.
이에 따라 SonicWall은 관리자들에게 SSL VPN 계정 및 OTP 초기화, 최신 펌웨어 업데이트, 계정 유출 점검 및 접근 제어 강화 같은 추가 보안 조치를 강력히 권고하고 있다. 이번 글에서는 Akira, UNC6148 등 해킹그룹의 공격 대상이 되고있는 SonicWall SSL VPN 취약점 악용 방식과 공격 표면 점검 방법을 다룬다.
SonicWall SSL VPN 공격 벡터, OVERSTEP 배포와 MFA 우회 기법
업계에 보고된 두 가지 공격 방식은 공통적으로 SonicWall SSL VPN을 침투 경로로 삼지만, 접근 방식과 위협 방식에 뚜렷한 차이를 보인다.
UNC6148 해킹 그룹은 커널 레벨의 루트킷을 통해 시스템 내부에 은밀히 상주하는 전략을 사용한 반면, Akira 랜섬웨어 그룹은 인증 시스템 자체를 우회해 공격 초기 단계부터 권한을 확보하는 방식을 취하고 있다.
UNC6148의 OVERSTEP 루트킷 악성코드 배포
OVERSTEP은 SonicWall SMA 100 시리즈(SMA 210, 410, 500v 등)를 표적으로 설계된 커널 레벨 루트킷이다. 위협 행위자는 이를 통해 감지 없이 관리자 권한을 획득하고, 장기간 시스템 내부에 머물며 명령 실행, 데이터 탈취, 백도어 설치 등의 악성 행위를 수행할 수 있다.
해당 악성코드는 리눅스 기반 펌웨어의 업데이트 과정을 악용해 루트 권한으로 설치되며, SonicWall은 이를 제거하기 위한 전용 펌웨어를 2025년 6월 배포했다.
Akira 랜섬웨어 조직의 MFA 우회 침투 기법
Akira 조직은 SonicWall SSL VPN 계정 정보를 이용해 MFA(다단계 인증)를 우회하거나 무력화하는 방식으로 인증 절차를 통과하고 있다. 보안기업 Arctic Wolf에 따르면, OTP를 여러 차례 재시도하거나, 이전 침해에서 탈취한 OTP 시드를 재사용했을 가능성이 높다.
SonicWall은 이와 관련해 제로데이 가능성을 부인했으며, 알려진 취약점CVE-2024-40766(2024년 8월 패치)와 관련된 공격임을 밝혔다. 그러나 이미 유출된 계정 정보가 여전히 악용되고 있다는 점에서 단순한 패치로는 충분하지 않다는 우려가 크다.
SonicWall SSL VPN 장치의 공격 표면 노출 현황
위협 헌팅 검색엔진 Criminal IP Asset Search를 통해 SonicWall SSL VPN의 공격 표면 노출 현황을 확인해보았다. SonicWall SMA 장치를 찾으려면 product 필터를 사용해 product:sma 쿼리로 검색 할 수 있다.
Criminal IP Search Query: product:sma
product:sma 쿼리로 검색한 결과, 2025년 10월 10일 기준 전 세계에서 3,894건의 SonicWall SMA 장치가 공격 표면에 노출되어 있는 것으로 확인되었다.
동일한 쿼리로 Criminal IP Element Analysis국가 통계를 검색하면, 전 세계에 노출된 SonicWall SMA 장비 중 가장 많은 수가 미국에 집중되어 있는 것으로 나타났다. 미국은 총 1,111개의 인스턴스가 탐지되어 전체 노출량의 약 28.5%를 차지한다.
그 뒤를 이어 독일(464건), 중국(199건) 순으로 확인되었으며, 해당 국가들은 대규모 산업 및 공공기관 인프라가 다수 존재하는 지역인 만큼, 전략적 침투 거점으로 악용될 위험이 크다.
또한 대한민국은 전체 국가 중 9위로, 총 117건의 노출 인스턴스가 확인되었다.
보안 권고 및 대응 전략
SonicWall 대상 공격 대응 방법으로 다음과 같은 조치가 권고된다:
- 모든 VPN 사용자 계정 비밀번호 초기화
- OTP 기반 MFA 시드 전면 재설정
- 2025년 6월 배포된 SonicOS 최신 펌웨어 적용
- 구형 SMA 장비는 운영 중단 또는 교체 권고
- 외부에 노출된 SSL VPN 포트 접근 통제(WAF, 방화벽 등)
- Criminal IP 등 공격 표면 관리 솔루션을 통한 실시간 공격 표면 모니터링
결론
SonicWall SSL VPN을 노린 이번 공격은 단순한 취약점 스캔을 넘어서, 장기 침투, 인증 우회, 커널 레벨 루트킷 설치까지 이어지는 고도화된 공격이다. 특히 VPN 장비가 기업 네트워크의 경계에 위치한 만큼, 하나의 장비 침해가 곧 조직 전체에 영향을 줄 수 있다.
관리자는 패치 적용만으로 충분하지 않으며, 반드시 사용자 계정과 인증 방식, 공격 표면 전체를 점검해야 한다. Criminal IP의 Asset Search 기능은 외부에 노출된 SSL VPN 장비를 식별하고, 공격자의 스캔을 사전에 차단하는 데 큰 도움이 될 수 있다.
관련하여 Cisco ASA 제로데이: 9만대 FTD 장치 노출 확인, 위협 헌팅 가이드 글을 참고할 수 있다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko), Bleeping Computer – Akira ransomware breaching MFA-protected SonicWall VPN accounts
관련 글: