2026년 7월 14일, SonicWall은 SMA1000 시리즈 원격 접속 어플라이언스에서 제로데이 취약점 2건이 실제 공격에 쓰이고 있다고 밝혔다. 하나는 CVSS 10.0의 인증 없는 SSRF고, 다른 하나는 관리자 권한이 있어야 하는 OS 명령 인젝션이다. 같은 날 CISA는 두 CVE를 KEV 카탈로그에 올리고 연방기관에 사흘 안에 패치하라고 요구했다. SMA1000은 재택근무·협력사 원격 접속에 쓰이는 게이트웨이라, 뚫리면 내부망으로 가는 입구가 열린다.
항목
값
CVE
·
CVSS
10.0 (Critical) · 7.2 (High)
유형
미인증 SSRF(CWE-918) · 인증후 OS 명령 인젝션(CWE-94)
영향 제품
SonicWall SMA1000 (SMA6210·7210·8200v)
취약 버전
12.4.3-0324503434 · 12.5.0-0228302800
패치 버전
12.4.3-03453 이상 · 12.5.0-02835 이상
악용 상태
실사용 확인, CISA KEV 등재(2026-07-14)
배경: 왜 반복해서 뚫리는가
SonicWall SMA1000은 기업 원격 접속의 관문 역할을 하는 어플라이언스다. 외부에서 인증 없이 접근 가능한 Work Place 인터페이스를 열어 두는 구조라, 결함이 나오면 곧바로 미인증 공격 표면이 된다.
이번이 처음은 아니다. 2025년 1월에도 SMA1000 계열에서 제로데이()가 발견돼 당시 노출 인스턴스가 약 950대로 파악됐다. SonicWall 제품군은 랜섬웨어 조직 Akira가 2024~2025년 등 여러 SSL-VPN 결함을 초기 침투 경로로 반복 사용한 이력도 있다. CISA KEV 카탈로그에 오른 SonicWall 관련 결함만 누적 17건이다. 이번 ·15410을 특정 조직과 연결짓는 공개 귀속은 아직 없지만, 원격 접속 어플라이언스가 반복 표적이 되는 패턴만은 뚜렷하다.
메커니즘: 미인증 SSRF와 인증후 명령 인젝션
는 Work Place 인터페이스에 있는 SSRF(CWE-918)다. 인증 절차 없이도 공격자가 어플라이언스를 원하는 위치로 요청하게 만들 수 있다. 점수는 10.0으로 최고 등급이다.
은 Appliance Management Console(AMC)에 있는 코드 인젝션(CWE-94)이다. 이미 관리자 권한으로 인증된 공격자만 악용할 수 있고, 성공하면 임의의 OS 명령을 실행한다. 점수는 7.2다.
The Hacker News와 SecurityWeek는 두 결함이 함께 체이닝될 수 있다고 언급했지만, SonicWall과 Volexity는 구체적인 체이닝 방식을 공개하지 않았다. 확인된 사실은 두 취약점이 각자 독립적으로도 위험하다는 점뿐이다. SSRF만으로 내부망 정찰이나 백엔드 서비스 악용이 가능하고, 관리자 세션을 확보한 공격자라면 명령 인젝션으로 어플라이언스를 완전히 장악한다.
악용 전개: 발견부터 KEV 등재까지
SonicWall PSIRT 소속 Adam Babis가 이번 결함을 발견했다. 사고 대응 업체 Volexity의 Sean Koessel·Steven Adair가 조사를 도와 추가 침해 지표를 찾아냈다. SonicWall은 "여러 사건을 조사한 결과 실제 악용을 확인했다"고만 밝혔을 뿐, 최초 인지 경위나 피해 산업군·규모는 공개하지 않았다.
패치 외 완화책은 없다. SonicWall은 패치를 적용하기 전에 로그부터 점검해 이미 침해됐는지 확인하라고 권고한다.
탐지 관점: 로그 4종이 유일한 단서
SonicWall이 공개한 침해 지표는 코드가 아니라 로그 패턴이다. 다음 네 가지가 확인 대상이다.
extraweb_access.log에서 /__api__/login·/__api__/logout 요청이 HTTP 200으로 응답한 경우
같은 로그에서 /wsproxy 요청 중 host 파라미터가 의심스럽고 HTTP 101로 응답한 경우
ctrl-service.log에 경로 탐색성 이름을 포함한 hotfix 롤백 흔적이 남은 경우
설정 파일(/var/lib/unit/conf.json)에 정상적으로는 없어야 할 로그인·로그아웃 API 라우트가 추가된 경우
공식 ATT&CK 매핑은 공개되지 않았지만, 공격 흐름을 기법으로 추정하면 초기 침투는 T1190(공개 애플리케이션 악용), 명령 실행은 T1059(명령 및 스크립팅 인터프리터), 패치 롤백 시도는 T1562(방어 기능 무력화)에 해당한다.
한국 관점
이번 사건에서 한국을 겨냥한 침해나 국내 피해 사례는 확인되지 않았다. KISA·KrCERT의 개별 공지도 리서치 범위에서는 나타나지 않았다.
다만 원격근무·협력사 접속에 SMA 계열 어플라이언스를 쓰는 국내 기업이라면, 이번 패치 적용 여부와 로그 점검부터 살펴볼 만한 사안이다. 원격 접속 게이트웨이는 국가를 가리지 않는 반복 공격 표면이라는 점에서 이번 사례도 예외가 아니다.