체크포인트 VPN 심각한 취약점, IKEv1에서 비밀번호 우회에 악용
출처: The Hacker News
Ravie Lakshmanan2026년 6월 8일 취약점 / 네트워크 보안
Check Point는 폐기된 IKEv1 키 교환 프로토콜을 사용하도록 설정된 원격 액세스 VPN 및 모바일 액세스 배포에서 발생하는 심각한 취약점이 활발히 악용되고 있다고 경고했습니다.
이 취약점은 CVE-2026-50751(CVSS 점수: 9.3)으로, 인증되지 않은 원격 공격자가 인증 흐름의 논리적 결함을 이용해 사용자 인증을 우회하고 유효한 비밀번호 없이 원격 액세스 VPN 연결을 설정할 수 있게 하는 인증서 검증 로직 결함입니다.
“인증서 검증 로직 결함을 악용하면 공격자는 유효한 비밀번호 없이 VPN 세션을 수립할 수 있어 인증 요구 사항을 사실상 우회하게 됩니다.”라고 Check Point는 전했습니다. “내부 자원에 접근하거나 권한을 상승시키기 위해서는 추가적인 인증 후 활동이 필요합니다.”
해당 결함은 다음 제품 및 버전에 영향을 미칩니다(지원 페이지):
-
Security Gateways
- R82.10 Jumbo Hotfix Take 19 이하
- R82 Jumbo Hotfix Take 103 이하
- R81.20 Jumbo Hotfix Take 141 이하
- R81.10 (EOS)
- R81 (EOS)
- R80.40 (EOS)
-
Spark Firewalls
- R80.20.X (EOS)
- R81.10.X
- R82.00.X
성공적인 악용을 위해서는 다음 조건이 충족되어야 합니다:
- VPN 원격 액세스 또는 모바일 액세스가 활성화돼 있어야 함
- 원격 액세스를 위해 IKEv1이 활성화돼 있어야 함
- 게이트웨이가 레거시 원격 액세스 클라이언트를 허용해야 함
- 게이트웨이가 연결 시 머신 인증서를 요구하지 않아야 함
이스라엘 사이버 보안 기업은 2026년 6월 4일에 의심스러운 활동 징후를 처음 포착했으며, 가장 이른 악용 사례는 2026년 5월 7일까지 거슬러 올라간다고 밝혔습니다. 악용 시도는 이번 달부터 급증한 것으로 전해졌습니다.
Check Point는 악용 활동이 “전 세계적으로 수십 개의 목표 조직에 한정돼 있다”고 덧붙였습니다. 한 사례에서는 악용 후 단계가 Qilin 랜섬웨어 제휴와 연결되었습니다.
“우리는 이 위협 행위자가 Palo Alto Networks, Fortinet, F5 등에서 공개된 다른 VPN 관련 취약점도 악용하고 있다고 보고 있습니다.”라며, “행위자가 통신에 Tox 프로토콜을 사용할 가능성을 시사하는 지표를 발견했으며, 이는 재정적 동기를 가진 랜섬웨어 행위자와 흔히 연관된 패턴입니다.”라고 전했습니다.
핵심적인 요소는 가상 사설 서버(VPS) 인프라를 이용해 공격을 수행한다는 점입니다. 구체적으로는 특정 국가에 위치한 VPS 서버를 활용해 해당 국가 내 조직을 표적으로 삼았습니다. 일단 접근이 확보되면, 공격자는 행위자 제어 인프라에서 악성 ELF 파일을 다운로드하려는 시도를 했습니다.
이러한 시도 중 일부는 Ctrl‑Alt‑Intel이 지난달 발표한 보고서와 중복되는 부분이 있습니다. 해당 보고서는 기업 VPN 어플라이언스를 초기 접근 수단으로 악용한 랜섬웨어 조직을 조명했습니다.
영향을 받는 VPN 구성 요소에 대한 추가 검토 결과, 두 번째 취약점인 CVE-2026-50752(CVSS 점수: 7.40)도 발견되었습니다. 이 취약점은 VPN 사이트‑투‑사이트 연결에 대해 중간자(AitM) 공격을 가능하게 할 수 있지만, 실제 공격에서 악용된 증거는 아직 없습니다.
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우해주세요.