소닉월 차세대 방화벽, 원데이 공격 주의... 디도스·원격코드 실행 공격 위협

2년 전 패치된 소닉월 방화벽 취약점...아직도 ‘위험’
“자동 업데이트·권고 아니더라도 주기적으로 업데이트하는 습관 중요”

[보안뉴스 박은주 기자] 네트워크 보안 전문기업 소닉월(SonicWall)의 차세대 방화벽 약 17만 8,000대가 디도스와 원격코드 실행 공격에 노출돼 있다는 미국의 사이버 보안 업체 비숍 폭스(Bishop Fox)의 연구결과가 발표됐다.

▲소닉월 방화벽 이미지(기사 내용과 무관함)[이미지=소닉월 홈페이지]

해당 취약점은 ‘CVE-2022-22274(CVSS 9.4)’과 ‘CVE-2023-0656(CVSS 7.5)’으로, 결함은 소닉월 방화벽의 SonicOS에서 인증되지 않은 스택 버퍼 오버플로우(A Stack-Based Buffer Overflow)로 인해 비롯됐다. 스택 버퍼 오버플러우란 프로그램의 스택 메모리 영역을 초과해서 데이터를 입력받을 때 발생하는 취약점을 말한다.

블록스텔라 강인욱 대표는 “해당 취약점을 활용하면 공격자의 원격 코드 실행 공격과 DoS 공격을 진행할 수 있다”며 “두 취약점 모두 스택 버퍼 오버플로우 취약점으로 유사하지만, CVE-2022-22274는 특정 데이터 영역을 덮어씌워 프로그램을 원하는 곳으로 이동시킬 수 있어 더 치명적”이라고 설명했다.

그러나 CVE 번호에서 알 수 있듯, 해당 취약점은 이미 2022년과 2023년에 패치가 완료됐다. 따라서 위협에 노출된 소닉월 방화벽은 취약점 패치를 되지 않아 원데이 공격(One-Day Attack) 위협에 노출된 것이다.

스틸리언 문형일 연구원은 “원데이 공격은 아직 패치가 개발되지 않은 제로데이 공격만큼 위험하고 큰 파급력을 일으킬 수 있고 IoT 기기, 핸드폰 애플리케이션, 아파치 서버 등 다양한 소프트웨어를 대상으로 공격이 진행된다”며 주의를 당부했다.

문 연구원은 “공격자는 시스템을 업데이트하지 않았다는 가정 하에 원데이 공격을 감행하고, 최악의 경우 서버 탈취까지 이어질 수 있다”며 “자동 업데이트나 업데이트 권고가 아니더라도 사용자가 주기적으로 업데이트하는 습관을 들이는 게 중요하다”고 조언했다.

▲소닉월 방화벽 중 취약점에 영향받는 제품 및 해결 버전[표=KISA 보호나라]

한국인터넷진흥원에서도 보안공지를 통해 소닉월 방화벽에 대한 보안 업데이트를 권고했다. 해당 취약점 영향을 받는 제품과 해결 버전은 위 표와 같다.

한편, 한국 소닉월은 한국에서 사용되는 소닉월 제품은 이미 보안 업데이트를 마쳤다는 입장이다. 소닉월 측은 “소닉월은 (한국에서) 파트너 세일즈를 통해 판매하는데, 취약점이 발표되고 바로 펌웨어 업데이트 및 보안 조치를 완료했다”며 “취약점 발견 당시 고객사와 관계사에 개별적으로 연락하고, 홈페이지를 통해 취약점을 공지했다”고 당시 상황을 설명했다.
[박은주 기자(boan5@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)