소닉월의 SMA 100 시리즈와 SRA 시리즈를 사용하는 조직이라면 펌웨어 업그레이드가 권고된다. 8.x 버전은 위험하니 상위 버전으로 해야 한다. 그렇지 않을 경우 랜섬웨어 공격의 피해자가 될 수 있다고 한다.

[보안뉴스 문가용 기자] 보안 솔루션 및 방화벽 업체인 소닉월(SonicWall)이 고객들에게 긴급한 경보를 발령했다. 시큐어 모바일 액세스(Secure Mobile Access, SMA) 100 시리즈와 시큐어 리모트 액세스(Secure Remote Access, SRA) 시리즈를 통한 랜섬웨어 공격이 발생할 가능성이 높다는 내용이다.


문제가 되는 건 이미 생애주기가 끝난 8.x 버전의 펌웨어다. 최신 버전으로 펌웨어 업데이트를 할 경우 위 제품들을 안전하게 사용할 수 있다고 소닉월은 강조한다. 상위 버전으로는 9.x와 10.x 버전이 존재한다.

소닉월이 경고하고 있는 랜섬웨어 공격은 도난당한 크리덴셜을 통해 시작된다고 한다. 그런 후 과거 8.x 펌웨어에서 발견된 취약점을 익스플로잇 함으로써 랜섬웨어 페이로드가 심겨진다. 이 취약점은 8.x 이후에 나온 버전들을 통해 해결되었다. SMA 100이나 SRA 시리즈를 사용하는 기업들은 최대한 빨리 펌웨어 업데이트를 할 것이 권고되고 있다.

빠른 패치가 불가능한 경우라면 SMA나 SRA 장비들과 관련되어 있는 모든 계정들의 크리덴셜을 리셋하는 것을 소닉월은 권고한다. 또한 이런 계정들과 같은 크리덴셜을 사용하여 운영하는 다른 계정들 역시 새롭게 설정하는 편이 안전하다고 소닉월은 설명한다.

소닉월은 권고문을 통해 “SRA와 SMA 100 시리즈 제품들에 대한 긴급 안전 조치를 취하는 데 실패하는 조직들은 랜섬웨어를 동반한 표적 공격에 노출될 것”이라고 경고하며 “위험 완화 조치를 취함으로써(크리덴셜 리셋) 일시적인 안전을 꾀할 수는 있지만 결국에는 최신 펌웨어로 업그레이드 하는 것이 근본적인 해결책”이라고 강조했다.

하지만 소닉월은 어떤 랜섬웨어가 이번 보안 권고문에 직접적으로 연루되어 있고, 어떤 피해가 현재까지 발생했는지 정확히 밝히지 않고 있다. “임박해 있다(imminent)”라는 표현만 강조되었을 뿐이다.

한편 SMA 1000 시리즈 제품을 사용하는 소닉월 고객들은 이번 권고문과 무관한 것으로 알려져 있다. 또 펌웨어 9.x와 10.x 버전을 사용한다면 SRA와 SMA 100 시리즈를 사용한다고 해도 위험하지 않다고 한다. 펌웨어 업그레이드에 더해 다중 인증 시스템을 도입하면 한 층 더 안전해질 수 있다고 한다.

3줄 요약
1. 소닉월의 SMA 100과 SRA 제품군과 관련된 랜섬웨어 공격이 유행 중.
2. 이에 소닉월은 펌웨어를 8.x 버전에서 9.x와 10.x 버전으로 업그레이드하라고 권고.
3. 업데이트가 무리라면 크리덴셜 리셋을 통해 일시적으로 안전해질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>