☁️ 2025년 소닉월(SonicWall) 클라우드 백업 해킹 사건|글로벌 클라우드 보안 위기
2025년 10월, 세계적인 네트워크 보안 기업 소닉월(SonicWall)의
클라우드 백업 서비스
가 대규모 해킹 공격을 받았습니다. 이번 사건은 클라우드 보안 체계의 근본적인 신뢰성을 흔들며, 글로벌 고객 전체가 피해를 입은 초유의 사태로 기록되고 있습니다.
1️⃣ 해킹 사건의 전말과 경과
2025년 10월 초, 다수의 기업과 기관에서 사용하는 소닉월 클라우드 백업 시스템에서 비정상적인 트래픽이 탐지되었습니다. 조사 결과, 외부 해커 조직이 장기간에 걸쳐 침투하여 백업 데이터를 무단 수집·삭제한 정황이 확인되었습니다.
소닉월은 즉시 “공격자가 클라우드 인프라의 백업 시스템 계층에 접근했다”고 발표했으며, 피해 기업과 기관 수는 수천 개 이상에 달하는 것으로 알려졌습니다. 특히 일부 고객 데이터는 암호화되지 않은 상태로 저장돼 있었으며, 이는 클라우드 보안 설계의 근본적인 문제를 드러냈습니다.
2️⃣ 클라우드 백업 시스템의 구조적 취약성
이번 사건은 “클라우드 백업은 안전하지 않다”는 현실을 명확히 보여주었습니다. 많은 기업이 비용 절감과 접근성 향상을 위해 클라우드 백업을 채택하지만, 실제 보안 수준은 내부 인프라보다 낮은 경우가 많습니다.
- SaaS 형태의 백업 서비스는 공급자 중심 관리 구조로 인해 보안 세부 설정 제한
- 관리 포털 및 인증 시스템에 취약점 존재
- 일부 계정에서 MFA(다중 인증)이 정상적으로 작동하지 않음
- 자동화된 보안 설정이 해커에게 침입 경로를 제공
“보안 책임 공유 모델에 대한 이해 없이 클라우드 백업을 도입할 경우, 대규모 보안 사고로 이어질 수 있다.”
3️⃣ 방화벽 설정 백업 전량 노출 사건 (2025년 9월~10월)
소닉월은 한 달에 걸친 조사를 마친 뒤,
클라우드 백업을 이용한 모든 고객의 방화벽 설정 백업 파일(.EXP)
이 외부 공격자에게 노출되었다고 공식 발표했습니다. 이는 초기 “일부 사용자만 영향받았다”는 입장에서 한 달 만에 전 고객 피해로 결론이 바뀐 것입니다.
| 공격 대상 | 파일 내용 | 위험 요소 |
|---|---|---|
| Cloud Backup 고객 전체 | .EXP 설정 파일 (AES-256 암호화된 구성 및 자격증명 포함) | 네트워크 구조, VPN 정보, 인증 서버 설정 유출 |
전문가들은 해당 파일이 단순한 암호화 데이터가 아니라, 공격자에게 “네트워크 지도(Network Map)” 역할을 해 방화벽 우회 및 내부망 침투에 악용될 수 있다고 경고했습니다.
4️⃣ 소닉월의 공식 대응 및 권고 조치
소닉월은 고객들에게 ‘Essential Credential Reset’ 절차를 즉시 수행할 것을 권고했습니다. 다음 항목들은 반드시 교체 또는 재발급이 필요한 자격정보입니다.
- 로컬 사용자 및 관리자 비밀번호 전면 재설정
- 임시 인증 코드(TOTP) 재발급
- LDAP·RADIUS·TACACS+ 서버 비밀번호 변경
- VPN 공유키 및 WAN 인증 정보 교체
- Cloud Secure Edge(CSE) API 키 재발급
- SNMPv3, AWS, WWAN 연동 자격증명 교체
또한 고객은 마이소닉월(MySonicWall) 계정의 ‘Product Management → Issue List’ 메뉴에서 자사 장비의 영향 여부를 직접 확인할 수 있습니다.
“특히 인터넷에 노출된 방화벽 장비를 우선 점검하고, 모든 세션 토큰과 비밀번호를 교체해야 한다.” — 보안 전문가 발언
5️⃣ 피해 기업 및 기관의 현황
다수의 피해 기업은 백업 복구가 불가능한 상태에 있으며, 의료·금융·공공기관 등 주요 산업의 데이터 손실이 보고되었습니다. 일부 기업은 집단 소송을 검토 중이며, 보상 정책이 불투명하다는 점에서 불만이 커지고 있습니다.
특히, 유출된 설정 정보에는 VPN 키·클라우드 연동용 AWS 키 등 핵심 데이터가 포함되어 복호화되지 않아도 내부 구조 분석에 악용될 수 있다는 지적이 제기되고 있습니다.
6️⃣ 보안 업계의 평가와 장기적 대응 방향
- 이번 사건은 제품 취약점이 아니라 서비스 인프라의 보안 실패로 평가됨
- 모든 비밀번호, API 키, 토큰의 전면 교체가 필수
- 관리 포털 접근 최소화 및 MFA 활성화
- 클라우드 백업 의존도 감소, 오프라인 암호화 백업 병행 필요
“이번 사고는 패치로 해결할 수 있는 문제가 아니다. 고객 스스로 자격증명을 모두 교체하고 접근 범위를 줄여야 한다.” — 업계 전문가
보안 전문가들은 이번 사건을 계기로, 클라우드 서비스에 대한 과도한 신뢰에서 벗어나 하이브리드 백업 전략과 내부 보안 프로세스 자동화가 필수 과제로 자리 잡을 것이라고 분석합니다.