늦장 부리는 사용자, 극성 부리는 아키라

아키라(Akira)랜섬웨어 조직이 소닉월(SonicWall)방화벽에서 발견된 취약점을 악용하고 있다는 내용의 고발이 나왔다.문제가 되는 취약점은 이미 지난 여름부터 익스플로잇 되고 있었다고 한다.아키라의 수상한 움직임도 그 시기 즈음에 탐지되기 시작했는데,당시에는 이들이 제로데이 취약점을 통해 공격하는 줄 알았다.하지만 분석해 보니, 1년 전에 발견된 취약점이었다.

보안 업체 라피드7(Rapid7)에 의하면 아키라는 “소닉월 SSLVPN의 설정 오류를 찾아내 공격 통로로 삼고 있을 뿐 아니라,오래된 취약점까지 악용하는 등 랜섬웨어를 심기 위해 모든 수단을 동원하고 있다”고 한다.라피드7은 자사 고객들 중 소닉월을 같이 사용하고 있는 경우를 찾아 보안 조치를 실시하다가 아키라의 이같은 행위를 발견할 수 있었다고 밝혔다.

이번 라피드7의 발표에서 핵심이 되는 취약점은 CVE-2024-40766이다. 2024년 8월에 처음 공개된 취약점으로,당시 CVSS기준 9.8점을 받았을 정도로 위험한 것이었다.아키라만이 아니라 포그(Fog)라는 랜섬웨어 조직도 지난 해 이 취약점을 익스플로잇 해 피해자들을 양산했다.아키라의 경우 올해까지도 같은 공격을 이어온 것이다.이는 해당 취약점 패치를 사용자들이 제때 하지 않았음을 의미한다.라피드7이 조사한 바에 의하면 지난 한 달 동안 취약한 상태로 인터넷에 노출된 소닉월 장비가 43만 대 이상이었다고 한다.

CVE-2024-40766은 최초 접근을 가능하게 해 주는 취약점으로서 활용됐다.아키라와 포그는 작년부터 이 취약점을 익스플로잇 해 수백 개의 기업을 침해했고,최초 침투 성공 이후 10시간도 되지 않아 대부분의 파일들을 암호화하기까지 했다.여기까지는 이미 작년과 올해 초에도 알려진 내용이었다.소닉월도 문제를 파악해 패치를 개발했으며,고객들에게 배포하며 빠른 적용을 촉구했다.

그러다가 올해 8월 초부터 아키라가 새로운 랜섬웨어 활동을 시작했는데,이 때도 2024년과 마찬가지로 소닉월 제품들이 연루됐다.그러자 소닉월은 새로운 취약점을 공격자들이 찾아낸 것 같다고 발표했었다.즉 제로데이 취약점 공격을 의심한다는 내용이었다. CVE-2024-40766취약점은 의심하지도 않았다.이미 1년 전에 패치된 것이었기 때문이다.

하지만 소닉월의 자체 조사 결과에는 반전이 있었다.제로데이가 아니라 작년에 한 차례 문제가 되고,피해자가 무더기로 생겨나게 한 바로 그 취약점이 사건의 중심에 있었던 것이다.소닉월 측은 “문제를 철저히 조사한 결과 새로운 제로데이 취약점과는 관련이 없는 사건인 것을 알게 됐다”며 “이전에 권고문과 함께 패치까지 배포된 CVE-2024-40766취약점이 문제로 남아 있었다”고 밝혔다.

왜 이 시기에 작년 그 취약점이 다시 공격의 단초가 된 걸까?소닉월은 “8월 초 많은 고객들이 6세대 방화벽에서 7세대로 업그레이드를 실시했는데,그 과정에서 오래된 자격 증명이 수정되지 않고 그대로 사용되는 일이 있었다”고 말한다.공격자들이 이를 파악해 공격을 실시하면서,예전 취약점도 같이 찔러봤고,아직도 잘 통하기에 작년의 공격을 반복한 것으로 소닉월은 보고 있다.

뿐만 아니라 소닉월 사용자들이 비밀번호 변경이나 다중인증 옵션 설정,일회용 비밀번호 설정 등에 사용하는 포털에 아키라가 접근하는 것도 목격했다고 라피드7측은 설명한다.이는 아무나 접근해서는 안 되는 포털을 사용자가 전체 공개로 설정해 두었기 때문이라고 한다. “인터넷에 그대로 노출되면 안 되는 것이,설정 오류로 인해 완전 개방된 것입니다.아키라는 이런 포털을 통해 사용자 계정 비밀번호를 바꿈으로써 진짜 사용자를 완전 차단할 수도 있습니다.”

종합하면 아키라는 세 가지 경로로 랜섬웨어를 퍼트리고 있다고 정리할 수 있다.
1)오래되었지만 패치되지 않은 취약점
2)세대 업그레이드 하면서 간과된 오래된 인증서
3)전체 공개가 되면 안 되는 전체 공개로 설정된 포털

안타깝지만 세 가지 모두 사용자 측의 실책이다.라피드7은 “취약점 패치 적용과 인증서 관리,설정 오류 수정은 모두 관리자가 책임져야 하는 보안 조치”라고 강조했다. “보안 강화를 위해서는 주기적으로 잊지 말고 해줘야 하는 것들이 있습니다.시스템과 인증서 최신화와 설정 검토,비밀번호 사용 현황 등입니다.매일 하다보면 작고 하찮게 느껴지는 작업일 수 있지만,하지 않았을 때 너무나 큰 대가를 치르게 됩니다.”

라피드7은 “이미 8월 초에만 40군데가 넘는 조직들이 아키라에 당했다”며 “이는 우리 고객사들 중에서만 조사한 것”이라고 짚었다.라피드7이 피해 현황을 조사할 수 없어서 숫자가 집계되지 않을 뿐 더 많은 기업이나 기관들이 당했을 가능성이 높다는 의미다. “보안은 작은 것들을 꾸준히 실천하는 것만으로도 얼마든지 강화시킬 수 있습니다.그걸 잊지 않는 게 중요합니다.”

Related Materials

• SonicWall VPN의 취약점(CVE-2024-40766)을 악용한 Akira 랜섬웨어 및 분석 보고서 - CyberOne , 2024년
• FBI, CISA, 국제 사이버보안 기관 공동 'Akira 랜섬웨어' 권고 및 탐지, 분석 보고서 - SOC Prime , 2025년
• Akira Ransomware Targets SonicWall VPN: A Wake-Up Call for HR and Business Leaders - Greater Rochester Chamber , 2025년
• Akira Ransomware가 SonicWall SSL VPN을 적극적으로 노리는 보안 위협 보고서 - H-ISAC , 2025년

소닉월 방화벽에 제로데이 있나? 아키라 확산 중

💡Editor’s Pick - 소닉월 방화벽 통해 아키라 빠르게 퍼져 - 공격 속도와 규모 봤을 때 제로데이 의심 - 소닉월 측에서는 아직 공격 경로 파악 못해 소닉월(SonicWall) 방화벽을 겨냥한 익스플로잇 행위가 활발해지고 있다는 경고가 나왔다. 소닉월 측에서도 사용자들에게 7세대 방화벽 제품의 암호화 서비스인 SSL VPN을 비활성화 하라는 권고를 내보내고 있다.

The Tech Edge문가용 기자