소닉월 SMA1000 제로데이 2건, CVSS 10.0 실공격 확인

소닉월 SMA1000 제로데이 요약 카드 — CVE-2026-15409 CVSS 10.0, CVE-2026-15410 CVSS 7.2, 실공격 확인 및 CISA KEV 등록 마감일 안내

소닉월이 지난 7월 14일 자사 원격접속 장비 SMA1000에서 발견된 제로데이 취약점 2건이 이미 실제 공격에 쓰이고 있다고 밝혔다. 그중 하나는 로그인 절차 없이도 장비를 조작할 수 있는 CVSS 10.0(최고 위험도) 결함이다. CISA는 두 취약점을 곧바로 KEV(알려진 악용 취약점) 목록에 올렸고, 연방기관은 내일인 7월 17일까지 조치를 마쳐야 한다.

SMA1000 제로데이 2건, 표로 정리하면

CVE 위치 유형 CVSS 인증 필요 여부
CVE-2026-15409 Work Place 인터페이스 SSRF(서버 위조 요청) 10.0 (치명적) 불필요 · 원격 무인증
CVE-2026-15410 Appliance Management Console 코드 인젝션 7.2 (높음) 필요 · 인증된 관리자

소닉월은 두 취약점을 묶은 권고문 전체에 10.0 등급을 매겼다. CVE-2026-15410은 관리자 권한이 있어야 악용 가능하지만, CVE-2026-15409로 먼저 침입해 권한을 얻은 뒤 이어서 악용하는 시나리오를 배제할 수 없기 때문으로 보인다. 소닉월은 두 결함이 실제로 연쇄 악용됐는지는 아직 확인해주지 않았다.

왜 ‘인증 없이 뚫린다’는 말이 유독 무섭나

CVE-2026-15409는 공격자가 로그인 계정 없이 인터넷 너머에서 SMA1000 장비에 임의의 요청을 보내게 만드는 결함이다. 영향을 받는 모델은 6210, 7210, 8200v이며 특정 구버전 핫픽스(12.4.3-03245·03387·03434, 12.5.0-02283·02624·02800)를 쓰는 장비가 대상이다. 소닉월은 이번 결함이 SMA100 시리즈나 방화벽의 SSL-VPN에는 영향을 주지 않는다고 선을 그었다.

SMA1000은 재택근무·외부 접속 직원이 사내망에 들어오는 관문 역할을 하는 장비다. 이런 경계 장비 하나가 뚫리면 그 뒤에 있는 내부 시스템 전체가 공격자의 사정권에 들어온다. 소닉월 원격접속 제품군은 앞서도 불완전한 패치로 인해 VPN 다단계 인증(MFA)이 우회된 사례가 있어, 이번 사태도 처음 겪는 유형의 위협은 아니다.

이미 뚫렸는지 확인하는 방법 — 소닉월이 공개한 침해 지표

  • extraweb_access.log에 /api/login, /api/logout 요청이 HTTP 200 상태로 남아 있는지 확인한다.
  • /wsproxy 요청에 의심스러운 host 파라미터와 HTTP 101 상태 코드가 함께 있는지 살펴본다.
  • ctrl-service.log에 경로 조작(path traversal) 형태의 핫픽스 롤백 기록이 있는지 점검한다.
  • /var/lib/unit/conf.json에 정상 구성에는 없어야 할 /api/login, /api/logout 라우트가 포함돼 있는지 확인한다.
  • 위 흔적이 하나라도 발견되면 물리 장비는 재이미징, 가상 장비는 재배포하고, 전체 계정 비밀번호와 TOTP 토큰을 모두 재발급한다.

Q&A로 정리하는 SMA1000 사태

Q. 우리 회사가 SMA100을 쓰고 있다면 안전한가?
소닉월은 이번 결함이 SMA100 시리즈나 방화벽 SSL-VPN에는 영향이 없다고 밝혔다. 다만 실제 보유 장비의 모델명과 펌웨어 버전을 다시 한번 확인하는 편이 안전하다.

Q. 임시로 막아둘 방법은 없나?
없다. 소닉월은 핫픽스 적용 외에 별도의 완화책이 없다고 명시했다. 즉시 패치가 유일한 대응이다.

Q. 꼭 7월 17일까지 조치해야 하나?
연방기관 기준 마감이 7월 17일일 뿐, 민간 기업도 같은 일정으로 움직이는 게 안전하다. 이미 실제 공격에 쓰이고 있다고 확인된 결함이기 때문이다.

필자 시사점

방화벽이나 VPN 게이트웨이 같은 경계 장비는 공격자 입장에서 투자 대비 효율이 가장 좋은 표적이다. 인증 절차 하나만 우회하면 그 뒤에 있는 내부망 전체가 열리기 때문이다. CVSS 10.0짜리 무인증 SSRF가 실제로 쓰였다는 사실은, 2026년에도 경계 장비가 여전히 최우선 공격 대상이라는 점을 다시 확인시켜 준다.

같은 날 CISA KEV에는 마이크로소프트 SharePoint·AD FS 제로데이도 함께 올라갔다. 원격접속 장비와 사내 인증 인프라가 같은 주간에 동시에 실공격 대상이 됐다는 건, IT 부서 입장에서 이번 주 패치 우선순위를 한 곳에 몰아둘 여유가 없다는 뜻이기도 하다.

출처

댓글 남기기