소닉월의 클라우드 백업 서비스 무단 노출 사고 직후 발생...사용자 우려 증폭
소닉월 방화벽 노리는 아키라 랜섬웨어 공격도 증가...사용자들의 보안강화 조치 필요

[보안뉴스 김형근 기자] 글로벌 보안 기업 소닉월(SonicWall)의 SSL VPN 장치를 겨냥한 광범위한 침해 사고가 발생한 것으로 드러났다. 이번 사건은 소닉월이 클라우드 백업 서비스에 저장된 방화벽 구성 파일이 무단 노출된 보안 사고를 인정한 직후에 발생했다.

사이버 보안 기업 헌트레스(Huntress) 보고서에 따르면 지난 4일(현지시간)부터 시작된 이 공격은 16개 고객사의 100개가 넘는 SonicWall 계정을 노렸다.


[자료: Gettyimagesbank]

사이버보안 매체 해커뉴스는 해커들이 무작위 대입이 아닌 유효한 인증 정보를 사용하고 있는 것이 확인됐으며, 그 엄청난 속도가 사태의 심각성을 보여준다고 밝혔다.

공격자들은 침투 후 네트워크 스캐닝이나 로컬 윈도우 계정 접근 시도 등 추가적인 악성 활동을 벌인 정황이 포착됐다.

이 대규모 침해 경고는 SonicWall이 클라우드 백업 서비스에 저장된 방화벽 구성 파일이 무단 노출된 보안 사고를 인정한 직후에 터져 두 사건의 연관성에 대한 우려를 증폭시키고 있다. 방화벽 구성 파일에 사용자 설정과 인증서 등 조직 접근에 치명적인 민감 정보가 담겨 있었던 것으로 알려졌기 때문이다.

다만 헌트레스는 현재 두 사고가 직접적으로 연결되었다는 증거는 없다고 밝혔다.

그러나 클라우드 백업 서비스를 이용 중인 업체들은 혹시 모를 무단 접근을 막기 위해 라이브 방화벽 장치의 비밀번호를 즉시 재설정할 필요가 있다고 보안전문가들은 권고했다. 또한 WAN 관리 제한, 외부 API 키 폐기, 그리고 모든 관리 계정에 MFA(다중요소 인증)를 의무화할 것을 강조했다.

또한, 최근에는 알려진 보안 취약점(CVE-2024-40766)을 악용해 SonicWall 방화벽을 노리는 아키라(Akira) 랜섬웨어 공격도 함께 증가하고 있어 사용자들의 즉각적인 보안 조치가 요구된다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>