[지디넷코리아]
미국 사이버보안 기업 소닉월(SonicWall)이 랜섬웨어 공격을 유발시켰다는 이유로 소송을 당했다.
1991년 설립된 소닉월은 기업 네트워크를 보호하는 방화벽(Firewall)과 가상사설망(VPN), 통합보안 장비를 공급하는 회사다.
최근 외신에 따르면 미국 소프트웨어 기업 마르퀴스 소프트웨어 솔루션즈(Marquis Software Solutions) 소닉월의 중대한 과실과 허위 진술이 랜섬웨어 공격으로 이어졌다고 주장하며 소송을 제기했다. 이 공격으로 미국 내 74개 은행의 운영이 중단된 것으로 알려졌다.
외신 보도에 따르면, 2025년 8월 14일, 해커들은 소닉월 방화벽을 침해한 뒤 랜섬웨어 공격을 통해 마르퀴스의 네트워크에 침입했다. 이들 공격자는 비즈니스 파트너에게서 전달받은 개인정보가 포함된 파일을 탈취했다. 유출 정보에는 이름, 주소, 전화번호, 사회보장번호(SSN), 납세자식별번호(TIN), 금융 계좌 정보 등이 포함됐다.
마르퀴스는 데이터 분석, CRM 도구, 컴플라이언스 보고, 디지털 마케팅 서비스를 제공하는 기업으로, 700개 이상의 은행·신용조합·모기지 대출기관을 고객으로 두고 있다.
조사 결과, 공격자는 소닉월의 클라우드 백업에서 추출된 설정(configuration) 데이터를 이용한 것으로 밝혀졌다. 침해 원인은 2025년 2월 소닉월이 ‘마이소닉월(MySonicWall)’ 클라우드 백업 서비스에서 API 코드 변경을 통해 도입한 보안 공백이었다.
이 취약점은 소닉월 클라우드에 저장된 방화벽 설정 백업 파일에 대한 무단 접근을 가능하게 했고, 해당 파일에는 AES-256으로 암호화된 자격증명, 설정 데이터, MFA 스크래치 코드가 포함돼 있었다.
소닉월은 사건을 3주 후에야 공개했고, 처음에는 고객의 약 5%만 영향을 받은 것으로 추정했지만 이후 모든 고객이 영향을 받았음을 확인했다. 사고 대응 기업 맨디언트(Mandiant) 조사에 따르면, 이번 공격은 국가 지원 해커(state-sponsored hackers)에 의해 수행된 것으로 밝혀졌다.
마르퀴스는 공격 당시 자사의 소닉월 방화벽이 최신 상태였고, 다중요소인증(MFA)이 활성화돼 있었으며, 추가 보안 통제도 적용돼 있었지만, 소닉월 클라우드 백업 침해로 노출된 정보를 통해 공격자가 시스템을 장악했다고 주장했다.
또 마르퀴스가 MFA 우회 문제와 관련해 소닉월에 직접 문의했을 때, 소닉월이 핵심 정보를 제공하지 않았고 요청을 무시했다고 밝혔다.
소장에는 “소닉월 행위로 마르퀴스는 고객 손실, 기업 평판 훼손, 사업 기회 상실, 매출 및 이익 감소, 그리고 기업 가치의 상당한 하락 등 지속적인 피해를 입고 있다”고 명기됐다.
마르퀴스는 이번 랜섬웨어 공격과 관련해 현재 36건 이상의 소비자 집단소송에 대응하고 있다고 밝혔다. 이에, 마르퀴스는 금전적 손해배상, 관련 집단소송 판결에 대한 면책 및 분담, 변호사 비용, 그리고 형평적 구제(equitable relief)를 법원에 요청했다고 외신은 전했다.