긴급 경고: SonicWall 장비, UNC6148 그룹의 표적! 패치된 취약점 악용 및 랜섬웨어 공격 가능성

최근 SonicWall 장비를 사용하는 기업들을 대상으로 하는 사이버 공격이 급증하고 있습니다. 구글의 위협 인텔리전스 그룹(Threat Intelligence Group)은 ‘UNC6148’로 명명된 공격 그룹이 패치된 취약점을 악용하여 기업의 네트워크에 침투하고, 중요 정보를 탈취하거나 랜섬웨어를 배포하려는 시도를 감지했습니다.

UNC6148, 패치된 취약점 악용

UNC6148 그룹은 이미 패치된 SonicWall Secure Mobile Access (SMA) 100 시리즈 장비의 취약점을 악용하고 있습니다. 공격자들은 과거에 탈취한 자격 증명과 일회용 비밀번호(OTP) 시드를 사용하여 보안 업데이트 후에도 다시 시스템에 접근하는 것으로 파악되었습니다. 이는 기업이 보안 패치를 적용했더라도, 과거 정보 유출로 인해 여전히 공격에 취약할 수 있음을 시사합니다.

OVERSTEP 백도어, 지속적인 접근 허용

UNC6148은 'OVERSTEP'이라는 새로운 백도어/사용자 모드 루트킷을 배포합니다. OVERSTEP은 장비의 부팅 프로세스를 변경하여 지속적인 접근을 가능하게 하고, 중요한 자격 증명을 훔쳐내며, 자신의 존재를 숨깁니다. 이는 공격자가 시스템에 깊숙이 침투하여 장기간에 걸쳐 정보를 수집하고 악성 행위를 수행할 수 있도록 합니다.

데이터 유출 및 랜섬웨어 공격 가능성

구글은 UNC6148의 활동이 최소 2024년 10월부터 시작되었으며, 데이터 탈취 및 협박 작전, 그리고 랜섬웨어 배포를 목적으로 할 가능성이 높다고 판단합니다. 실제로 2025년 5월에 UNC6148의 공격을 받은 한 조직은 2025년 6월에 "World Leaks" 데이터 유출 사이트에 정보가 공개되었습니다. UNC6148의 활동은 2023년 말부터 2024년 초까지 발생한 SonicWall 공격과도 연관되어 있으며, 당시 Abyss 브랜드 랜섬웨어가 배포된 것으로 알려져 있습니다.

선제적 보안 조치의 중요성

이러한 공격들은 소프트웨어 업데이트의 중요성을 다시 한번 강조합니다. 보안 패치가 공개되면 즉시 적용해야 하며, 시스템을 최신 상태로 유지해야 알려진 공격으로부터 보호할 수 있습니다. 만약 시스템 업데이트가 부담스럽다면, 패치 관리 소프트웨어를 활용하는 것을 고려해 볼 수 있습니다.

과거 SonicWall 방화벽 공격 사례

2025년 초에도 SonicWall 방화벽은 심각한 사이버 공격을 받은 적이 있습니다. 당시 공격자들은 취약점을 악용하여 대상 엔드포인트에 접근하고, VPN을 방해하며, 시스템을 훼손했습니다. 이러한 사례들은 SonicWall 사용 기업들이 보안에 더욱 주의를 기울여야 함을 보여줍니다.

결론

SonicWall 장비를 사용하는 기업들은 UNC6148 그룹의 공격에 대비하여 보안 시스템을 점검하고, 최신 패치를 적용하며, 자격 증명 관리를 강화해야 합니다. 만약 공격 징후가 발견된다면 즉시 보안 전문가에게 문의하여 적절한 대응을 받아야 합니다. 꾸준한 보안 강화 노력을 통해 사이버 공격으로부터 안전하게 자산을 보호해야 할 것입니다.