체크포인트, VPN 제로데이 공격을 Qilin 랜섬웨어 조직과 연결.
이스라엘 사이버보안 기업 체크포인트는 원격 액세스 VPN 및 모바일 액세스 배포에 영향을 주는 중요한 결함을 패치하기 위한 보안 업데이트를 발표했으며, 이 결함은 제로데이 공격에 악용되었습니다.
CVE-2026-50751으로 추적되는 이 취약점은 인증되지 않은 원격 공격자가 대상 모바일 액세스/SSL VPN, 원격 액세스 VPN 또는 스파크 방화벽을 우회해 원격 액세스 VPN 연결을 설정하도록 할 수 있습니다.
회사에 따르면, 이 보안 결함은 폐기된 IKEv1 키 교환 프로토콜을 사용하도록 구성된 배포에만 영향을 미치며, 레거시 원격 액세스 클라이언트를 허용하고 연결에 머신 인증서를 요구하지 않는 보안 게이트웨이에서 발생합니다.
공격은 5월 7일에 시작되어 6월 초에 급증했으며, 전 세계적으로 “수십 개” 조직에만 영향을 미쳤고, 최소 한 건은 Qilin 랜섬웨어 조직과 연관된 사건으로 확인되었습니다.
“Check Point Research는 폐기된 IKEv1 키 교환 프로토콜을 사용하도록 구성된 체크포인트 원격 액세스 VPN 및 모바일 액세스 배포에 영향을 주는 중요한 인증 우회 취약점인 CVE-2026-50751의 활발한 악용을 확인했습니다.”라고 회사 측이 경고했습니다.
“현재까지 관찰된 악용은 전 세계적으로 수십 개의 목표 조직에 국한되어 있습니다. 한 사례에서는 Qilin 랜섬웨어 계열과 연관된 사후 침해 활동이 확인되었습니다. IKEv1 키 교환 프로토콜을 사용하는 고객은 가능한 한 빨리 제공된 보안 업데이트를 적용할 것을 강력히 권고합니다.”
체크포인트는 또한 취약 시스템을 즉시 패치할 수 없는 고객을 위한 완화 조치를 공유했으며, 레거시 원격 액세스 클라이언트 지원을 제거하고, 원격 액세스 VPN 인증에 대한 전역 속성을 IKEv2 전용으로 구성하며, 머신 인증서 인증을 필수로 설정하고, IPS를 활성화하고 서명을 다운로드하도록 권고했습니다.
CVE-2026-50751 결함을 조사하던 중 체크포인트는 폐기된 IKEv1 키 교환에서 인증서 검증에 영향을 주는 두 번째 취약점(CVE-2026-50752)을 발견했으며, 이는 사이트 간 VPN 연결에 대한 중간자 공격에 악용될 수 있습니다.
체크포인트는 아직 CVE-2026-50752가 실제로 악용된 사례를 찾지 못했지만, 잠재적 노출을 완화하기 위해 고객에게 업데이트 적용을 권고했습니다.
Qilin은 2022년 8월 “Agenda”라는 이름으로 랜섬웨어-서비스(RaaS) 운영으로 등장했으며, 이후 다크웹 유출 사이트에서 약 400건에 달하는 피해자를 자처했습니다.
이 조직의 피해자 명단에는 자동차 대기업 양펑(Yangfeng), 닛산(Nissan), 일본 맥주 회사 아사히(Asahi), 출판 대기업 리 엔터프라이즈스(Lee Enterprises), 병리 서비스 제공업체 시노비스(Synnovis), 그리고 호주 빅토리아 법원 서비스(Court Services Victoria) 등이 포함됩니다.
보안 팀은 성공적인 공격의 54%를 기록하지만, 알림을 보내는 비율은 겨우 14%에 불과합니다. 나머지는 환경을 눈에 띄지 않게 통과합니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트하여 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.