CISA, 연방기관에 제로데이 악용 체크포인트 VPN 버그 3일 내 패치 지시
CISA는 미국 정부 기관에 체크포인트 원격 액세스 VPN 및 모바일 액세스 배포를, Qilin 랜섬웨어 계열이 제로데이 공격에 이용한 중대한 취약점으로부터 보호하도록 명령했습니다.
인증되지 않은 원격 공격자는 이 보안 결함(CVE-2026-50751)을 이용해 인증을 우회하고 대상 모바일 액세스/SSL VPN, 원격 액세스 VPN 또는 Spark 방화벽에 원격 액세스 VPN 연결을 설정할 수 있습니다.
이 취약점은 폐기된 IKEv1 키 교환 프로토콜을 사용하도록 구성된 인스턴스와, 연결에 머신 인증서를 요구하지 않으며 레거시 원격 액세스 클라이언트를 허용하는 보안 게이트웨이에만 영향을 미칩니다.
이스라엘 사이버보안 기업 체크포인트는 월요일에 CVE-2026-50751을 해결하기 위한 보안 업데이트를 발표했으며, 5월 7일에 시작돼 주말에 급증한 공격에서 악용된 것으로 표시했습니다.
이러한 공격으로 전 세계 “수십 개” 조직이 침해된 것에 불과하지만, 체크포인트는 최소 한 건의 사건을 Qilin 랜섬웨어‑as‑a‑Service(RaaS) 운영과 연결했으며, 해당 서비스는 2022년 8월에 등장한 이후 다크웹 유출 사이트에서 400명 이상의 피해자를 기록했습니다.
“현재까지 관찰된 악용 사례는 전 세계 몇십 개의 표적 조직에 국한되어 있습니다. 한 사례는 Qilin 랜섬웨어 계열과 연계된 사후 침투 활동이 확인되었습니다.”라고 회사는 밝혔습니다. “IKEv1 키 교환 프로토콜을 사용하는 고객은 가능한 한 빨리 제공된 보안 업데이트를 적용할 것을 강력히 권고합니다.”
체크포인트는 패치를 적용할 수 없는 경우를 위한 완화 조치도 공유했으며, 레거시 원격 액세스 클라이언트 지원을 제거하고 원격 액세스 VPN 인증을 IKEv2 전용으로 전역 속성을 구성하며, IPS를 활성화하고 서명을 다운로드하고, 머신 인증서 인증을 필수로 설정하도록 권고했습니다.
연방 기관, 6월 11일까지 패치 명령
어제 CISA는 또한 CVE-2026-50751을 Known Exploited Vulnerabilities (KEV) Catalog에 추가하고, 연방 민간 행정 부서(FCEB) 기관에 6월 11일까지 장치를 보호하도록 명령했으며, 이는 Binding Operational Directive (BOD) 22‑01에 의해 규정됩니다.
“이 유형의 취약점은 악의적인 사이버 행위자들의 빈번한 공격 경로이며 연방 기업에 중대한 위험을 초래합니다.”라고 사이버보안 기관은 언급했습니다.
“벤더 지침에 따라 완화 조치를 적용하고, 클라우드 서비스에 대한 적용 가능한 BOD 22‑01 지침을 따르며, 완화 조치를 제공할 수 없는 경우 제품 사용을 중단하십시오.”
이 구속력 있는 운영 지시는 미국 연방 기관에만 적용되지만, CISA는 모든 보안 팀(민간 부문 포함)에게 CVE-2026-50751에 대한 패치를 배포하고 가능한 한 빨리 조직 네트워크를 보호할 것을 촉구했습니다.
2년 전 CISA는 체크포인트 Quantum Security Gateways의 또 다른 취약점(CVE-2024-24919)을 랜섬웨어 조직이 적극적으로 악용하고 있다고 표시했으며, 이는 Orange Cyberdefense CERT 보고서가 NailaoLocker 랜섬웨어 공격과 연결된 것을 확인했습니다(링크).
[공격자가 하기 전에 모든 계층을 테스트하세요](https://hubs.li/Q04