Security

소닉월 방화벽에 제로데이 있나? 아키라 확산 중

JustAnotherEditor

06 Aug 2025 — 11 min read

💡

Editor's Pick
- 소닉월 방화벽 통해 아키라 빠르게 퍼져
- 공격 속도와 규모 봤을 때 제로데이 의심
- 소닉월 측에서는 아직 공격 경로 파악 못해

소닉월(SonicWall) 방화벽을 겨냥한 익스플로잇 행위가 활발해지고 있다는 경고가 나왔다. 소닉월 측에서도 사용자들에게 7세대 방화벽 제품의 암호화 서비스인 SSL VPN을 비활성화 하라는 권고를 내보내고 있다. 특히 아키라(Akira) 랜섬웨어가 빠른 속도로 퍼지고 있어 문제가 커질 수 있다고 한다.

구글 맨디언트(Google Mandiant)의 CTO인 찰스 카마칼(Charles Carmakal)은 자신의 링크드인 게시글을 통해 “여러 해커들이 아키라를 퍼트리고 있다”며 “공격의 속도와 규모를 봤을 때 제로데이 취약점이 이 과정에 연루돼 있는 것으로 보인다”고 알렸다. 소닉월 7세대 방화벽에서 제로데이가 발견돼 공격자들 사이에서 먼저 퍼졌을 것이라는 뜻이다.

무슨 일이 벌어지기에 그런 걸까? 다른 여러 보안 업체들에 의하면 고객 네트워크에서 아키라를 동원한 침해 사례가 발견되는 중이라고 한다. 여기서 특이한 점은 다중인증으로 보호되어 있는 환경도 예외가 없다는 것이다. 보안 업체 헌트레스(Huntress)의 경우 “공격자들이 빠르게 움직이며 수시간 만에 도메인 컨트롤러에 도달해 짧은 시간 머물렀다가 랜섬웨어를 배포한다”고 경고했다. “7월 25일부터 거의 매일 공격이 발생하고 있으며, 현재까지 20건이 넘는 사례가 발견됐습니다.”

하지만 소닉월은 제로데이 취약점 존재의 가능성을 긍정하지도, 부정하지도 않고 있다. 자체 조사를 진행했을 때 이번 아키라 랜섬웨어 확산 사태가 이미 알려진 취약점을 통한 것인지 제로데이를 통한 것인지 분명히 말할 수 없다고 발표한 것이다. 그렇다는 건 아직 정확한 공격 방법을 아무도 모른다는 뜻이다. 그래서 소닉월 측도 “공격 방법을 알아내는 대로 그에 맞는 펌웨어 업데이트를 마련해 배포하겠다”고 발표했다.

소닉월에서 반복적으로 발견되는 위험 신호들

요 몇 년 소닉월은 꾸준히 보안 매체들에 이름을 올리고 있다. 취약점이 반복적으로 발견되는데 그 중 적잖은 수가 실제 공격에 악용되기에 이르른다. 2021년 말 이후부터 지금까지 미국 CISA가 관리하는 ‘긴급 패치가 필요한 취약점(KEV)’ 목록에 소닉월 제품 관련 취약점이 14개나 존재한다. 이 KEV는 ‘실제 공격이 발생하고 있는’ 취약점들만을 등재한다.

소닉월만이 아니라 여러 벤더사들의 제품들에서도 취약점이 발견되고 KEV에 올라오곤 한다. 하지만 이런 취약점들 중 상당수는 오래된 장비들에서 발견된 것들이다. 생산 업체 측에서 공식 지원 종료를 고지했을 정도로(즉 단종시켰을 정도로) 오래된 장비들에서 발견된 취약점들이 문제가 되는 게 보통인데, 소닉월의 경우 이른 바 ‘차세대’라고 하는 제품들에서도 문제가 나오고 있어 분위기가 사뭇 다르다. 소닉월 7세대 방화벽의 경우 2020년 말~2021년 초에 출시됐고, 아직 지원 기간이 끝나지 않았다. 방화벽 제품이라면 그리 오래됐다고 하기 힘들다.

소닉월 7세대 방화벽은 SSL VPN을 통해 원격 근무자가 회사 네트워크에 안전히 접속할 수 있도록 해 준다. 하지만 이번 사태로 인해 SSL VPN을 비활성화 하라고 소닉월 측에서 권고문이 나왔다. 즉 제품의 존재 이유이자 핵심 기능을 사용하지 말라는 건데, 이는 사실상 소닉월 7세대 방화벽 제품을 구매한 목적 자체를 부정하는 것이다. 보안 권고문이라고는 하지만 사실상 고객들이 체감하기에는 ‘불량품이니 감안하세요’에 가깝다는 것.

참고로 소닉월 SSL VPN 기능에서 발견된 취약점들 중 CISA의 KEV에 포함된 건 총 세 개로, CVE-2024-53704, CVE-2023-44221, CVE-2021-20016이다. 소닉월 측에서 “어떤 취약점을 통해 공격이 이뤄지고 있는지 아직 확실치 않다”는 건, 아키라가 이 세 가지 취약점을 통해 퍼지고 있는 것일 수도 있고, 전혀 새로운 취약점을 통해 확산되는 중일 수도 있다는 의미다.

아키라 랜섬웨어

CISA에 의하면 아키라는 2023년 3월부터 2024년 1월까지 250개 이상의 기업 및 기관을 공략하는 데 성공했을 정도로 활발한 그룹이다. 이들이 피해자들로부터 받아낸 돈은 4200만 달러 정도 되는 것으로 추정된다. 피해자의 파일을 암호화 할 뿐만 아니라 미리 빼돌려 공개하겠고 압박하는 ‘이중 협박’ 전술을 구사한다. 피해자가 비협조적으로 나올 경우 전화까지 걸기도 한다. 윈도와 리눅스 환경을 주로 노린다.

아키라는 AES 알고리즘을 사용해 파일을 암호화 하며, 암호화 된 파일 끝에 .akira라는 확장자를 붙인다. 또한 피해자의 복구 노력을 방해하기 위해 볼륨 셰도우 복사본까지 찾아내 삭제한다. 이런 악랄함 덕분에 비교적 신생 그룹임에도 불구하고 굵직한 성과를 거둔 것이라고 볼 수 있다. 미국 CISA와 FBI까지 아키라 관련 경고문을 따로 냈을 정도니, 더 설명할 필요가 없다. 러시아나 그 근처 동유럽 국가들에 둥지를 틀고 있을 것으로 보고 있다.

방화벽과 보안 제품, 맹목적 신뢰 대상 아냐

취약점이 많이 나온다는 건 두 가지 의미로 해석 가능하다. 해당 제품이나 서비스가 부실하게 만들어졌거나, 누군가 그 제품이나 서비스를 활발히 분석하고 연구한다는 것이다. 방화벽은 기업/기관 네트워크의 가장 바깥에서 침투를 막는 역할을 담당한다. 그렇기 때문에 공격자들의 연구와 공격 시도가 끊임없이 이뤄진다. 소닉월 제품이 아니더라도 여러 방화벽 브랜드에서 보안 사고들이 기록된 바 있다.

2023년 8월에는 시스코(Cisco)의 ASA / FTD에서 CVE-2023-20269라는 취약점이 발견됐었는데, 이 때도 아키라 랜섬웨어 조직이 이를 활발히 공략했었다. 스웨덴과 핀란드에서 특히 피해가 컸던 것으로 알려져 있다. 포티넷(Fortinet)의 포티게이트 장비에서도 CVE-2022-40684 취약점이 지난 1월에 발견돼 설정 파일과 크리덴셜 정보가 다량으로 유출됐다. 2024년 12월에는 소포스(Sophos)의 방화벽 웹 관리자 인터페이스에서 원격 코드 실행 취약점이 발굴되기도 했었다.

이런 일련의 사례들은 그 어떤 제품, 심지어 보안을 위한 제품이라도 완벽할 수 없다는 걸 나타낸다. 또한 아무리 잘 만든 제품이나 서비스라 하더라도 해커들이 끝없이 두들기면 구멍이 난다는 것도 보여준다. 이 때문에 보안 전문가들은 보안 제품이라 하더라도 보안 수칙을 지켜가며 사용해야 안전하다고 강조한다. 보안 제품이니까 자동으로 안전해지는 일 같은 건 없다는 것이다.

방화벽 사용에 있어 지켜야 할 보안 수칙들은 다음과 같다.

1) 방화벽 및 VPN 관리 계정은 항상 다중 인증으로 보호한다.

2) 방화벽도 주기적으로 패치된다. 항상 최신화 상태를 유지한다.

3) 방화벽 접근 로그를 주기적으로 검사한다.

4) 방화벽 접근 정책을 유연하게 바꾸되, 신뢰할 만한 IP 주소로부터의 접근만 허용한다.

5) 방화벽만 의지하지 말고 네트워크와 엔드포인트 단에 추가 보안 장치를 적용한다.

여기서 특히 중요한 건 5)번으로, 보안에 있어 가장 중요한 건 어떤 한 가지 장치, 기능, 사람에 조직 전체의 안전을 맡기는 게 가장 위험하기 때문이다. 비밀번호를 어렵게 생성했다고 해서, 그것 하나만 믿고 계정을 함부로 다루다가는 반드시 침해된다. 최신 방화벽을 설치했다고 해서 아무 사이트에 들어가 아무 파일이나 마구 다운로드 받는 것 역시, 최신 방화벽 비용을 무용지물로 만드는 일이다. 보안은 여러 계층에서, 여러 기술과 사람이 상호 보완 해가며 쌓아가는 것이다.