미국의 네트워크 보안 전문 기업 소닉월(SonicWall) 장비에 발생한 침해사고로 100개 이상의 계정이 공격을 받은 것으로 나타났다.
12일 보안 외신 '더해커뉴스(TheHackerNews)' 보도에 따르면 사이버 보안 회사 헌트리스는 소닉월 SSL VPN 디바이스 내 여러 고객 환경에 접근하는 공격을 확인했다고 경고했다.
이번 공격은 이달 4일부터 시작돼 16개 고객 계정에 걸쳐 100개 이상의 소닉월 SSL VPN 계정이 공격을 받은 것으로 알려졌다. 헌트리스 조사에 따르면 일부 공격의 경우 공격자들이 네트워크 스캔 활동을 수행하고 수많은 로컬 윈도우 계정에 접근하려고 시도하는 것이 발견됐다.
헌트리스는 "공격자들이 손상된 기기 전반에 걸쳐 여러 계정으로 빠르게 인증하고 있다"면서 "이러한 공격의 속도와 규모는 공격자들이 무차별 대입이 아닌 유효한 자격 증명을 통제하는 것처럼 보인다"고 우려를 나타냈다.
이번 공격은 소닉월이 보안 사고로 인해 마이소닉월 계정에 저장된 방화벽 구성 백업 파일이 무단으로 노출됐다는 사실을 인정한 직후에 이뤄져, 보안 사고 이후 이어진 추가적인 공격이 아니냐는 우려를 더하고 있다.
다만 헌트리스는 현재로서는 두 사고가 연관성이 있다고 볼 수 있는 증거가 없다고 강조했다. 단 민감한 자격 증명이 방화벽 구성 내에 저장되는 만큼 무단 액세스를 방지하기 위해 실시간 방화벽 장치에서 자격 증명을 재설정하는 것이 필요하다고 당부했다.
관련기사
- 랜섬웨어 아키라, 소닉월 취약점 악용해 공격2025.09.14
- 김동아 의원 "산업부 올해 해킹 탐지 6건"2025.10.11
- '킬린' 또 자산운용사 해킹… AIP자산운용 내부 데이터 탈취2025.10.07
- "해킹에 또 털렸다"…선불 충전 상품권 PIN 번호도 '유출'2025.09.26
또한 가능한 경우 WAN 관리 및 원격 액세스를 제한하고, 방화벽이나 관리 시스템에 닿는 외부 API 키를 취소하며, 의심스러운 활동 징후가 있는지 로그인을 모니터링해야 한다고 주문했다. 아울러 보안 강화를 위해 모든 관리자 및 원격 계정에 대해 다중 인증(MFA)을 적용하는 것이 필요하다고 역설했다.
한편 랜섬웨어 그룹 아키라(Akira)도 소닉월 방화벽 장치를 표적으로 랜섬웨어 공격을 진행하고 있는 만큼 지속적인 경계가 요구되고 있다.
