문의하기
블로그

SonicWall SSL-VPN MFA 우회 취약점: 패치 완료와 보호 완료 사이의 공격 표면

본 글에서는 SonicWall SSL-VPN MFA 우회 취약점 CVE-2024-12802의 기술적 원인과 공격 흐름을 분석하고, 외부에 노출된 VPN 장비가 왜 랜섬웨어 초기 침투 경로로 악용될 수 있는지 살펴본다.

2026년 5월, SonicWall Gen6 SSL-VPN 장비에서 CVE-2024-12802와 관련된 MFA 우회 공격 사례가 다시 주목받고 있다. 해당 취약점은 SSL-VPN 인증 과정에서 UPN(User Principal Name)과 SAM(Security Account Manager) 계정명 형식이 분리 처리되는 구조적 문제로 인해 발생하며, 특정 환경에서는 MFA가 활성화된 것처럼 보이더라도 공격자가 대체 로그인 형식을 이용해 추가 인증을 우회할 수 있다.

이 취약점이 특히 위험한 이유는 단순한 미패치 문제가 아니기 때문이다. SonicWall의 공식 어드바이저리는 Gen6 장비에서 펌웨어 업데이트 이후 6단계의 추가 수동 LDAP 재구성이 필요함을 명시했다. 그러나 표준적인 패치 관리 워크플로는 수동 재구성 완료 여부를 검증하지 않으며, 결과적으로 관리자는 장비가 보호된 것으로 인식하지만 실제로는 취약한 LDAP 설정이 그대로 남아 있는 상태가 된다. 더불어 이 공격에서 MFA 우회 시도는 로그에 “정상 MFA 성공”으로 기록되어 보안팀이 문제를 인식하지 못하게 만든다.

본 글에서는 SonicWall SSL-VPN MFA 우회 취약점 CVE-2024-12802의 기술적 원인과 공격 흐름을 분석하고, 외부에 노출된 VPN 장비가 왜 랜섬웨어 초기 침투 경로로 악용될 수 있는지 살펴본다.

CVE-2024-12802 취약점 개요

SonicWall SSL-VPN MFA 우회 취약점의 개요를 나타낸 AI 생성 이미지
항목내용
취약점 IDCVE-2024-12802
영향 제품SonicWall SSL-VPN
취약점 유형MFA 인증 우회 – CWE-305(Authentication Bypass by Primary Weakness)
CVSS 점수9.1 (Critical)
악용 현황2026년 2~3월 복수 환경에서 랜섬웨어 연계 공격 확인

CVE-2024-12802는 SonicWall SSL-VPN이 AD 연동 환경에서 서로 다른 계정명 형식을 처리하는 방식에서 발생한다. 일반적으로 사용자는 UPN 형식의 계정명과 SAM 형식의 계정명을 통해 인증할 수 있다. 문제는 MFA 정책이 사용자 계정 자체가 아니라 로그인 형식별로 독립적으로 적용될 수 있다는 점이다. 이 경우 관리자가 특정 계정명 형식에는 MFA를 적용했지만, 다른 로그인 형식에는 동일한 보호가 적용되지 않은 상태가 발생할 수 있다. 공격자는 유효한 계정 정보를 확보한 뒤, MFA가 제대로 강제되지 않는 로그인 경로를 선택해 SSL-VPN 인증을 통과할 수 있다.

기술적 원인: UPN과 SAM의 분리된 MFA 설정

UPN(User Principal Name) 형식은 이메일 주소처럼 보이는 [email protected] 형태다. SAM(Security Account Manager) 형식은 구형 Windows 도메인 로그인 방식인 DOMAIN\username 형태다. 두 형식은 동일한 사용자 계정을 가리키지만, SonicWall은 이를 완전히 별개의 인증 경로로 처리한다. MFA는 사용자 아이덴티티가 아닌 각 로그인 경로에 독립적으로 설정된다. 관리자가 SAM 경로에만 MFA를 구성한 경우, UPN 경로에는 MFA 강제가 적용되지 않으며 유효한 자격증명만 있으면 2차 인증 없이 인증이 완료된다.

Gen6 장비의 경우, 펌웨어 업데이트는 취약한 코드를 수정하지만 이미 존재하는 LDAP 설정은 건드리지 않는다. userPrincipalName을 사용하는 기존 LDAP 구성이 그대로 남아 있으면, 업데이트 이후에도 UPN 경로를 통한 MFA 우회가 여전히 가능하다. SonicWall 어드바이저리는 이 사실을 명시했지만, 표준 패치 관리 시스템은 버전 확인만 수행할 뿐 수동 재구성 완료 여부를 검증하지 않는다. 장비는 최신 펌웨어를 실행하는 것으로 보이고, 버전 점검도 통과하며, MFA도 활성화된 것으로 표시된다. 모든 것이 정상으로 보이지만 실제로는 취약하다.

공격 흐름 시나리오

공격 흐름 시나리오를 나타낸 AI 생성 이미지

CVE-2024-12802를 악용한 공격 흐름은 다음과 같이 전개될 수 있다.

  1. 외부에 노출된 SSL-VPN 장비 식별
    공격자는 인터넷 스캐닝을 통해 외부에서 접근 가능한 SonicWall SSL-VPN 포털을 탐색한다. VPN 로그인 페이지, SSL-VPN 포트, 장비 배너, 인증 페이지 타이틀 등이 식별 지표로 활용될 수 있다.
  2. 계정 정보 확보 및 대입 시도
    공격자는 유출된 자격 증명, 재사용된 비밀번호, 무차별 대입 공격, 이전 침해에서 확보한 계정 정보를 이용해 VPN 로그인을 시도한다.
  3. MFA 우회 경로 악용
    AD 연동 환경에서 UPN/SAM 로그인 형식 처리 차이를 이용해 MFA가 제대로 강제되지 않는 인증 경로를 시도한다. 이 과정에서 로그상으로는 정상적인 MFA 흐름처럼 보일 수 있어 탐지가 늦어질 수 있다.
  4. 내부 네트워크 정찰
    VPN 접속에 성공한 공격자는 내부 IP 대역, 파일 서버, 도메인 조인 시스템, 원격 접속 가능 서버를 빠르게 탐색한다.
  5. 자격 증명 재사용 및 권한 확장
    공유 로컬 관리자 계정, 약한 비밀번호, 재사용된 계정 정보를 이용해 내부 시스템 접근을 확장한다.
  6. 랜섬웨어 사전 단계로 전환
    공격자는 원격 제어 도구, 권한 상승 도구, 보안 솔루션 우회 기법 등을 시도하며 향후 랜섬웨어 배포를 위한 초기 접근 권한을 확보할 수 있다.

이 공격 흐름에서 주목해야 할 점은 속도다. VPN 접속 이후 내부 정찰과 파일 서버 접근까지 매우 짧은 시간 안에 진행될 수 있다. 따라서 SSL-VPN 장비가 외부에 노출되어 있고, 계정 보호 정책이 불완전하다면 공격자는 단일 취약점을 내부 침투의 출발점으로 활용할 수 있다.

Criminal IP를 통해 관측 가능한 외부 노출 SonicWall SSL-VPN 자산

인터넷에 노출된 SonicWall SSL-VPN 장비의 실태를 확인하기 위해서는 외부에서 식별 가능한 서비스 지표를 기반으로 공격 표면을 점검해야 한다. Criminal IP Asset Search를 활용해 인터넷에 노출된 SonicWall SSL-VPN 자산을 관측했다.

Criminal IP Asset Search에서 product: sonicwall ssl-vpn web server를 검색한 결과

Criminal IP 검색 쿼리: product: sonicwall ssl-vpn web server

해당 쿼리를 통해 공용 인터넷에서 접근 가능한 SonicWall SSL-VPN 웹 서버 자산을 확인할 수 있다. 2026년 5월 기준 약 6,250개의 인스턴스가 확인되었으며 이 자산들은 조직 외부에서 SSL-VPN 로그인 포털 또는 관련 웹 서비스가 식별 가능한 상태임을 의미한다. SonicWall SSL-VPN은 내부 네트워크 접근을 위한 인증 관문 역할을 수행한다. 따라서 이러한 자산이 외부에 노출되어 있을 경우, 공격자는 먼저 VPN 포털을 식별한 뒤 계정 대입, 유출 자격 증명 활용, 인증 우회 가능성 검증 등을 순차적으로 시도할 수 있다. 특히 CVE-2024-12802와 같이 MFA 적용 방식의 허점을 악용할 수 있는 취약점에서는, 외부 접근 가능 여부 자체가 공격 가능성을 판단하는 핵심 기준이 된다. 장비가 최신 펌웨어로 업데이트되어 있더라도 Gen6 환경에서 LDAP 재구성이 완료되지 않았다면, 공격자는 여전히 MFA 우회 경로를 악용할 수 있다.

외부에 노출된 SonicWall SSL-VPN 자산 중에서도 SSL 인증서가 만료된 장비는 추가적인 관리 부실 징후로 해석될 수 있다. SSL 인증서 만료가 곧바로 CVE-2024-12802 악용 가능성을 의미하는 것은 아니지만, 경계 장비에 대한 유지보수와 보안 관리가 충분히 이루어지지 않고 있을 가능성을 보여주는 중요한 신호다.

Criminal IP Asset Search에서 product: sonicwall ssl-vpn web server ssl_expired: true를 분석한 결과

Criminal IP 검색 쿼리: product: sonicwall ssl-vpn web server ssl_expired: true

이 쿼리는 SonicWall SSL-VPN 웹 서버로 식별되는 자산 중 SSL 인증서가 만료된 상태로 외부에 노출된 장비를 확인하는 데 활용된다. 2026년 5월 기준 약 1,200개의 자산이 확인되었으며 이와 같이 만료된 인증서를 사용하는 VPN 포털은 다음과 같은 위험 신호를 포함할 수 있다. 

  1. 장비 운영 상태에 대한 점검 불충분
    SSL 인증서 갱신은 기본적인 운영 관리 항목 중 하나이기 때문에, 인증서가 만료된 채 방치된 장비는 펌웨어 업데이트, LDAP 설정 재구성, MFA 정책 점검과 같은 보안 조치 역시 누락되었을 가능성이 있다.
  2. 피싱 및 중간자 공격에 대한 경계심 부족
    VPN 로그인 페이지에서 인증서 경고가 반복적으로 발생하면, 정상 사용자도 경고를 무시하고 접속하는 습관이 생길 수 있으며 이는 계정 탈취 위험을 높인다.
  3. 우선 공격 대상 선정 가능성
    외부에 노출된 SSL-VPN 장비가 만료된 인증서를 사용하고 있다면, 해당 장비는 보안 운영 우선순위에서 누락되었거나 장기간 방치된 자산일 가능성이 있다.

이러한 자산은 CVE-2024-12802 대응 관점에서도 우선 점검 대상이 되어야 한다. 특히 Gen6 장비의 경우 펌웨어 업데이트 여부만 확인해서는 충분하지 않으며, LDAP 설정 재구성, 캐시된 LDAP 사용자 제거, SSL-VPN User Domain 재설정, 장비 재부팅 및 신규 백업 생성까지 완료되었는지 확인해야 한다.

Criminal IP에서 확인된 외부 노출 SonicWall SSL-VPN 개별 자산 분석 사례

실제 외부에 노출된 관련 자산 중 하나를 상세 분석한 결과, Criminal IP 기준 높은 위험도의 자산으로 분류되었으며 오픈 포트 73개, 취약점 248개, Exploit DB 39건이 함께 관측되었다. 이는 단순히 SSL-VPN 포털 하나가 노출된 수준을 넘어, 다수의 서비스와 취약점 정보가 함께 식별되는 고위험 자산으로 분류될 수 있음을 의미한다. 여러 포트가 외부에 열려 있는 것은 공격자가 VPN 접근뿐 아니라 추가적인 서비스 탐색과 공격 벡터 검토를 병행할 수 있는 환경이다. 이러한 자산은 CVE-2024-12802와 같은 인증 우회 취약점이 존재할 경우, 내부 네트워크 침투를 위한 초기 진입점으로 악용될 가능성이 높다.

이 개별 자산 분석 사례는 SonicWall SSL-VPN 자산의 위험을 판단할 때 단순히 “VPN 포털이 노출되어 있는가”만 확인해서는 충분하지 않음을 보여준다. 외부 접근 가능 여부와 함께 위협의 정도, 오픈 포트 수, 연관 취약점, SSL 인증서 상태, 호스팅 환경 여부를 종합적으로 분석해야 실제 공격 가능성에 가까운 우선순위를 설정할 수 있다. 결국 CVE-2024-12802 대응의 핵심은 취약점 패치 여부를 확인하는 데서 끝나지 않고, 공격자가 실제로 발견하고 접근할 수 있는 외부 노출 자산을 지속적으로 식별하는 데 있다.

패치 현황 및 대응 방안

CVE-2024-12802 대응에서 가장 중요한 점은 Gen6 장비의 경우 펌웨어 업데이트만으로는 조치가 완료되지 않을 수 있다는 것이다. 최신 펌웨어가 적용된 상태라도 기존 LDAP 설정이 남아 있다면 MFA 우회 가능성이 유지될 수 있으므로, 공식 권고에 따른 수동 재구성 절차까지 완료해야 한다. Gen7 및 Gen8 장비는 최신 펌웨어 업데이트를 통해 관련 조치가 반영되지만, Gen6 장비는 기존 LDAP 구성이 유지될 수 있어 별도의 수동 재구성이 필요하다.

Gen6 SonicWall SSL-VPN 장비를 운영 중인 조직은 다음 사항을 우선 점검해야 한다.

  • 최신 펌웨어 적용 여부 확인
  • userPrincipalName을 사용하는 기존 LDAP 설정 삭제
  • 캐시된 LDAP 사용자 제거
  • SSL-VPN User Domain 설정 제거
  • 장비 재부팅 후 LDAP 설정 재구성
  • 취약한 설정이 포함된 이전 백업을 복원하지 않도록 신규 백업 생성

또한 VPN 인증 로그에서 sess="CLI" 세션 유형, 이벤트 ID 238 및 1080, 비정상적인 VPS/VPN 기반 로그인, 짧은 시간 내 반복되는 인증 시도 등을 함께 확인해야 한다. 이러한 신호는 자동화된 VPN 인증 시도나 MFA 우회 가능성을 판단하는 주요 단서가 될 수 있다. 특히 Gen6 장비는 2026년 4월 16일부로 지원 종료 상태에 도달했기 때문에, 단기적으로는 수동 조치와 로그 점검을 즉시 수행하고, 장기적으로는 지원되는 장비로의 교체를 검토해야 한다. 패치 적용 여부만으로 대응을 끝내기보다, 설정 재구성 완료 여부와 침해 흔적을 함께 검증하는 것이 필요하다.

FAQ

Q1. 펌웨어를 최신 버전으로 업데이트했는데 안전한가요?

Gen6 장비라면 안전하지 않을 수 있습니다. 펌웨어 버전만 확인해서는 6단계 LDAP 재구성이 완료되었는지 알 수 없습니다. 실제 관측된 인시던트에서 모든 피해 장비가 최신 펌웨어를 실행 중이었음에도 취약한 상태였습니다. SonicWall 어드바이저리(SNWLID-2025-0001)의 수동 재구성 단계가 완료되었는지 별도로 확인해야 합니다.

Q2. Gen6를 계속 사용해도 되나요?

2026년 4월 16일 Gen6는 공식 지원이 종료되었습니다. 이후 새로운 취약점이 발견되더라도 보안 업데이트를 받을 수 없습니다. 단기적으로는 6단계 LDAP 재구성을 완료해 CVE-2024-12802를 해소하되, 중기적으로는 Gen7 이상으로의 마이그레이션이 필수적입니다. EoL 장비를 네트워크 경계에서 계속 운영하는 것은 미래의 모든 신규 취약점에 대해 영구적으로 노출된 상태를 의미합니다.

결론

CVE-2024-12802 사건은 “패치했다는 것”과 “실제로 보호된다는 것”이 다를 수 있음을 보여주는 전형적인 사례다. 취약점 자체는 2024년에 공개되었고 펌웨어 패치도 배포되었다. 그러나 패치의 불완전성과 6단계 수동 재구성이라는 숨겨진 요구사항, 그리고 표준 패치 관리 워크플로가 수동 재구성 완료를 검증하지 않는다는 구조적 한계가 결합되어, 많은 조직이 보호된 줄 알았지만 그렇지 않은 상태로 수개월을 보냈다. MFA가 활성화되어 있고 펌웨어가 최신 상태라는 사실이 실제 보안 상태를 보장하지 않는다는 것, 그리고 공격자가 남긴 흔적이 정상 로그와 구별되지 않는다는 것이 이번 사건의 핵심 교훈이다. 조직이 운영하는 SonicWall Gen6 장비가 어디에 있고, 6단계 재구성이 완료되었는지, 그리고 sess="CLI" 신호가 로그에 존재하는지를 지금 즉시 확인하는 것이 필요하다.

관련하여 CVE-2026-41940: cPanel 인증 우회 취약점 분석 글을 참고할 수 있다.

Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.


이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

출처: Criminal IP(https://www.criminalip.io/ko), BleepingComputer (https://www.bleepingcomputer.com/news/security/hackers-bypass-sonicwall-vpn-mfa-due-to-incomplete-patching/), CYBERSECURITY DIVE (https://www.cybersecuritydive.com/news/patch-bypass-hackers-exploit-flaw-sonicwall/820600/), SecurityAffairs (https://securityaffairs.com/192477/hacking/attackers-are-bypassing-mfa-on-sonicwall-vpns-because-something-was-wrong-with-previous-fix.html)

관련 글: https://www.criminalip.io/ko/knowledge-hub/blog/34885