Check Point VPN 취약점 CVE-2026-50751(CVSS 9.3)은 IKEv1 인증서 검증 오류로 비밀번호 없이 VPN 세션을 허용합니다. 5월 7일부터 31일간 Qilin 랜섬웨어가 수십 개 조직을 표적으로 삼았습니다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
: 31일간 패치 없이 악용된 Check Point VPN 인증 우회
2026년 6월 8일, Check Point는 원격 접속 VPN 제품군에 영향을 주는 심각한 취약점 공지를 발표했다. 하지만 포렌식 분석이 확인한 사실은 충격적이었다. 패치 배포보다 31일 앞선 5월 7일, 이미 공격이 시작돼 있었다. 공격자는 비밀번호 없이 VPN 세션을 수립했고, 그 진입로를 통해 Qilin 랜섬웨어 제휴자가 수십 개 조직에 접근했다. 패치가 나오기 전까지 이 취약점은 제로데이 상태였다.
| 항목 | 상세 |
|---|---|
| CVE | (CVSS 9.3, Critical) |
| 영향 제품 | Remote Access VPN · Mobile Access · Spark Firewall |
| 공격 조건 | IKEv1 활성 + 레거시 클라이언트 허용 + 머신 인증서 비필수 |
| 악용 시작 | 2026-05-07 (공지 31일 전) |
| 피해 조직 | 전 세계 수십 개 조직 (Check Point 공식 발표) |
| 패치 | 2026-06-08 hotfix (sk185033 · sk185035) |
Check Point의 원격 접속 VPN은 금융·제조·공공 등 다양한 산업군에서 기업 네트워크의 관문 역할을 한다. 은 이 관문의 인증 단계 자체를 무력화한다. 인증 우회는 곧 내부망의 비밀번호 없는 진입을 의미한다. 공격자는 정상 직원처럼 내부 시스템에 접근할 수 있는 VPN 세션을 확보한다.
CVSS 9.3은 네트워크에서 원격으로, 인증 없이, 낮은 복잡도로 공격이 가능하다는 것을 나타낸다. 더 심각한 문제는 "업계 전반의 가시성 공백"이다. The Next Web이 인용한 연구 결과에 따르면, 방화벽과 VPN 등 엣지 어플라이언스는 공격을 탐지하거나 차단하기에 충분한 텔레메트리를 제공하지 않는 경우가 많다. 즉, 공격이 이루어지고 있어도 로그만으로는 인지하기 어려웠을 수 있다.
IKEv1(Internet Key Exchange version 1)은 IPsec VPN 세션 협상에 사용되는 1998년 표준이다. 2005년 RFC 4306으로 IKEv2가 발표된 이후 공식적으로 폐기 권고 상태지만, 레거시 클라이언트 호환을 위해 여전히 활성화해 둔 게이트웨이가 다수 존재한다.
Check Point 공식 블로그에 따르면, 의 원인은 IKEv1 인증서 유효성 검증 로직의 논리적 오류(logic flow weakness)다. 아래 네 조건이 동시에 충족될 때 결함이 노출된다.
이 네 조건이 겹치면 게이트웨이의 인증서 검증 로직이 "머신 인증서 없음" 상태를 오류로 처리하지 않고 세션 협상을 그대로 완료한다. 인증서가 없어도 인증이 통과된 것으로 처리되는 것이다. 원격의 비인증 공격자는 이 경로로 VPN 세션을 수립하고, 내부망에서 정상 직원 세션과 동일한 접근 권한을 갖는다.
동반 취약점 CVE-2026-50752(CVSS 7.4)도 같은 IKEv1 인증서 검증 결함을 이용해 사이트 간 VPN에 중간자 공격을 허용할 수 있으나, 현재까지 활성 악용은 보고되지 않았다.
영향을 받는 버전:
| 제품 라인 | 취약 버전 |
|---|---|
| Security Gateway | R80.40(EOS) · R81(EOS) · R81.10(EOS) · R81.20 · R82 · R82.10 |
| Spark Firewall | R80.20.X · R81.10.X · R82.00.X |
5월 7일 첫 공격 이후 6월 8일 패치 배포까지 31일은 제로데이 기간이었다. 이 기간 동안 공격자는 세 단계를 거쳐 피해를 확산시켰다. 먼저 을 통해 VPN 세션을 수립해 내부망에 진입했다. 이어 초기 거점에서 액터 제어 인프라로부터 ELF 파일을 다운로드해 추가 도구를 배포했다. 마지막으로 Qilin 랜섬웨어 제휴자가 이 경로를 통해 수십 개 조직에 접근하고 데이터 탈취와 암호화를 수행했다.
공격에 사용된 인프라는 피해 조직과 동일한 국가에 지오로케이션된 VPS였으며, Kaupo Cloud HK, Shock Hosting, Vultr Holdings 등의 제공업체가 식별됐다. 공격자는 Tox 프로토콜을 통신에 사용한 것으로 분석됐다.
Qilin은 2022년 중반 "Agenda"라는 이름으로 처음 등장했다. Go 기반 악성코드로 아프리카와 아시아를 표적으로 삼다가, 2022년 말 "Qilin"으로 리브랜딩하며 Rust로 악성코드를 재작성했다. 코드 아티팩트와 운영 패턴을 근거로 러시아 또는 러시아어권 출신으로 평가되고 있다.
은 이 그룹의 공격 속도를 설명하는 요인 중 하나다. Check Point VPN을 사용하는 조직에 제로데이 접근 경로가 열려 있었던 31일 동안, Qilin 제휴자는 비밀번호 하나 없이 내부망으로 진입할 수 있었다.
RaaS(서비스형 랜섬웨어) 모델에 이중 갈취 방식을 결합한다. 랜섬머니를 지급하지 않으면 Tor 기반 유출 사이트에 탈취 데이터를 공개한다. 2026년 5월 기준 누적 피해 조직 수는 1,888건을 넘었으며, 2026년 2월부터 5월 사이 110일간 452건을 게시해 일평균 4.7건의 속도를 유지하고 있다.
2024년 영국 NHS에 의뢰 검사를 제공하는 의료기관 Synnovis를 공격해 400GB의 환자 데이터를 탈취한 사례가 대표적이다. 수십만 건의 혈액 검사와 예약이 수개월간 중단됐다.
Qilin은 한국 조직과의 접점이 있다. 2025년 한국 금융사 25곳에 동시 접근한 "Korean Leaks" 작전이 확인됐고, 단일 MSP 침해가 다운스트림 28개 한국 조직으로 이어진 사례도 기록돼 있다. 2026년 6월 2~3일에는 한국 제조·엔지니어링 기업 JNP ENG가 Qilin 피해 목록에 올랐다.
이 이 한국 피해 사례와 직접 연관됐다는 증거는 현재 확인되지 않는다. 다만 Qilin이 Check Point VPN 취약점을 초기 접근 경로로 적극 활용하고 있고, Check Point VPN이 한국 엔터프라이즈 환경에서도 광범위하게 운영된다는 점은 주목할 만하다. 공격이 패치보다 31일 앞서 시작됐다는 사실은, 5월 7일 이후의 VPN 접속 기록이 이미 침해 흔적을 담고 있을 수 있음을 뜻한다.
공격자는 세 가지 흔적을 남길 수밖에 없다.
IKEv1 인증 성공 + 머신 인증서 없음: 정상 환경에서 IKEv2를 사용하거나 머신 인증서를 포함하는 세션과 달리, IKEv1 전용 인증 성공 이벤트는 이상 징후로 분류할 수 있다. SmartLog나 SIEM 연동 환경에서 다음 조건을 탐지 로직으로 활용할 수 있다.
event_type = VPN Authentication Success
protocol = IKEv1
machine_cert = false
알려진 공격 인프라 IP: Kaupo Cloud HK, Shock Hosting, Vultr Holdings ASN에서 발신한 VPN 접속 요청은 추가 조사 대상이다.
악성 ELF 다운로드 시도: 초기 접근 성공 후 공격자가 액터 제어 인프라에서 ELF 파일 다운로드를 시도한 행위가 관찰됐다. VPN 세션 수립 직후 비정상 외부 연결이 발생하는 패턴을 네트워크 로그에서 확인할 수 있다.
MITRE ATT&CK 매핑 (공식 매핑 없으면 추정 표기):
| ATT&CK ID | 기법 | 설명 |
|---|---|---|
| T1190 | 공개 애플리케이션 익스플로잇 | VPN 게이트웨이 인증 우회 |
| T1133 | 외부 원격 서비스 | 우회된 VPN 경로를 통한 내부망 접근 |
| T1078 | 유효 계정 | 정상 세션처럼 보이는 인증 없는 접속 (추정) |
| T1486 | 영향을 위한 데이터 암호화 | Qilin 후속 랜섬웨어 배포 단계 |
| T1490 | 복구 억제 | Qilin: 볼륨 섀도 삭제 등 복구 방해 |
IPS 시그니처가 이 공격 패턴을 식별한다는 점에서, 업데이트된 시그니처는 IKEv1 기반 비정상 인증 시도를 경보 대상으로 기록한다. 31일간 패치 없이 열려 있던 진입로는 이제 닫혔지만, 5월 7일 이후 접속 기록에서 위 탐지 로직으로 소급 확인하는 것이 가능하다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.