SonicWall SMA1000의 CVE-2026-15409 SSRF 취약점은 인증되지 않은 외부 공격자가 /wsproxy 인터페이스로 장치 내부 서비스에 임의 요청을 보낼 수 있는 치명적인 결함이다. 장치를 외부 인터넷에 노출하지 않고 내부망에서만 운용하더라도, 내부 네트워크의 악의적인 사용자가 WorkPlace 인터페이스에 접근할 수 있다면 동일하게 공격당할 수 있어 위험하다.
CVE-2026-15409 취약점 개요 및 보안 영향
SonicWall SMA1000 시리즈의 WorkPlace 인터페이스에서 발견된 CVE-2026-15409는 서버 측 요청 위조(SSRF) 취약점으로, CVSS 점수 10.0이라는 최상위 위험 등급을 받았다. /wsproxy 웹소켓 프록시 기능을 악용하면 공격자가 인증 없이 SonicWall 장치로 하여금 내부 서비스에 요청을 보내도록 강제할 수 있다. 단순한 정보 유출을 넘어, 신뢰된 내부 인터페이스 접근 권한을 공격자에게 넘겨주는 경로가 된다.
특히 이 취약점은 단독으로 쓰이기보다 다른 취약점과 연계될 때 파괴력이 커진다. CVE-2026-15410 코드 주입 취약점과 결합하면 공격자는 인증 없이 시스템 전체를 장악하는 원격 코드 실행(RCE) 단계까지 진입한다. 실제로 2026년 7월 초부터 관련 공격 사례(in the wild)가 확인됐다. 이에 미국 사이버보안 및 인프라 보안국(CISA)은 해당 건을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등재하고, 미 연방기관에 7월 17일까지 패치를 완료하라고 명령했다.
기술적 세부 분석 및 SonicWall SMA1000 SSRF 취약점(CVE-2026-15409) 위험성 체인
공격자는 /wsproxy 인터페이스로 장치 내부의 로컬 서비스에 접근한다. 구체적으로 Erlang 서비스가 동작하는 localhost:1050 포트와 ctrl-service가 동작하는 localhost:8188 포트를 타겟팅한다. SSRF 공격으로 내부 관리 인터페이스에 도달한 공격자는 CVE-2026-15410의 경로 탐색(Path Traversal) 기반 remove_hotfix 워크플로우를 이용해 권한을 상승시키고, 최종적으로 루트(root) 권한의 명령어를 실행한다.
공격자는 단순한 시스템 장악에 그치지 않는다. 지속적인 접근을 유지하려고 TOTP 및 MFA(다요소 인증) 시드 값, 관리자 자격증명, 세션 데이터베이스(DB)를 탈취한다. 정당한 사용자로 위장해 내부망으로 횡적 이동(Lateral Movement)하며 기업 핵심 자산에 접근할 교두보를 마련하는 식이다. 공격 인프라는 ASN 206092(F.N.S Holdings Limited) 소속의 IP 블록(45.131.194.0/24, 45.146.54.0/24, 63.135.161.0/24, 173.239.211.0/24)과 개별 IP(193.37.32.179, 193.37.32.214, 216.73.163.151, 216.73.163.158)인 것으로 확인됐다. 로그에서는 KALI 및 다양한 윈도우 데스크톱(DESKTOP-KRLUI3J, DESKTOP-IC3C80F, DESKTOP-5P0TSCP) 머신 이름이 발견됐다.
영향받는 제품 및 취약한 펌웨어 버전 상세
해당 취약점은 SonicWall SMA1000 시리즈 중 6210, 7210, 8200v 모델의 특정 펌웨어 버전에서 발생한다. 관리자는 운용 중인 장비의 펌웨어 버전을 즉시 확인하고 대응 버전으로 업데이트해야 한다.
| 구분 | 영향을 받는 취약 버전 (Vulnerable) | 해결된 안전 버전 (Fixed) |
|---|---|---|
| 12.4.3 계열 | 12.4.3-03245, 12.4.3-03387, 12.4.3-03434(핫픽스 포함) | 12.4.3-03453 이상 |
| 12.5.0 계열 | 12.5.0-02283, 12.5.0-02624, 12.5.0-02800(핫픽스 포함) | 12.5.0-02835 이상 |
기존에 적용했던 일부 핫픽스 버전(12.4.3-03434, 12.5.0-02800)조차 이번 취약점 앞에서는 안전하지 않다. 반드시 명시된 최종 해결 버전으로 업데이트가 필요하다.
실무자를 위한 완화 조치 및 대응 체크리스트
패치 전이거나 추가 방어 체계를 구축해야 하는 보안 담당자는 다음 단계별 대응 절차를 수행한다. 단순 패치뿐 아니라 이미 침투했을 가능성을 염두에 둔 사후 조치가 필수적이다.
- 즉각적인 접근 제어 및 인터페이스 관리: 장치가 외부 인터넷에 노출되어 있다면 443 포트에 엄격한 IP 기반 접근 제어 목록(ACL)을 설정한다. WorkPlace 인터페이스를 사용하지 않는 환경이라면 기능을 완전히 비활성화해 공격 표면을 없앤다.
- IOC(침해지표) 기반의 정밀 모니터링: 웹 서버 로그의 /wsproxy 요청 중 host 파라미터에 localhost 또는 127.0.0.1이 포함됐는지 전수 조사한다. HTTP 101(Switching Protocols) 상태 코드 발생 빈도와 /api/login 또는 /api/logout 요청에 대해 HTTP 200 응답이 반환된 기록을 추적한다.
- 시스템 로그 포렌식 수행: ctrl-service.log 파일에서 경로 탐색 공격의 전형적인 패턴인 상위 디렉토리 이동 문자열(../..)이 포함된 핫픽스 롤백 시도가 있었는지 확인한다. /var/lib/unit/conf.json 설정 파일에 비정상적인 /api 라우트 설정이 추가되어 있다면 공격자가 백도어를 생성한 것으로 보고 즉시 포렌식을 실시한다.
- 패치 후 보안 복구 절차 이행: 펌웨어 업데이트 후 단순히 재부팅하는 데 그치지 말고 다음 조치를 취한다. 모든 관리자 계정 비밀번호를 변경하고, 탈취 가능성이 높은 TOTP 토큰 리셋 및 MFA 시드를 전면 갱신한다. 장치를 재이미징하거나 가상 어플라이언스를 완전히 재배포하는 것이 가장 확실하다.
결론 및 인프라 보안 제언
SonicWall SMA1000 시리즈의 CVE-2026-15409 SSRF 취약점은 CVSS 10.0의 치명적인 위험도를 보이며, CVE-2026-15410과 결합해 인증 없는 완전한 시스템 장악을 허용한다. 내부망 전용 환경에서도 내부 사용자에 의한 공격 가능성이 있는 만큼, 외부 노출 여부와 관계없이 모든 운용 장비 펌웨어를 최신으로 유지하는 것이 유일한 근본 해결책이다.
보안 담당자는 즉시 펌웨어 버전을 대조하고, 위에서 제시한 IOC 기반 모니터링으로 침해 여부를 진단해야 한다. 의심 징후가 발견되면 즉시 세션 DB를 파기하고 자격증명을 갱신하는 긴급 대응 체계로 전환한다. 추가 기술 문의나 상세 로그 분석 방법이 필요하다면 사내 보안 팀 또는 SonicWall PSIRT의 공식 가이드를 참조해 신속히 조치하기 바란다.