사이버 보안 기업 소닉월(SonicWall)과 마이크로소프트(Microsoft) 위협 인텔리전스팀이 원격접속 VPN 클라이언트 넷익스텐더(NetExtender) 최신 버전을 사칭한 악성 설치 파일 유포 사실을 24일 공개했다. 공격자는 정식 프로그램과 동일한 버전 번호(10.3.2.27)를 내세워 사용자를 속이고, VPN 설정 정보와 계정 자격 증명을 외부 서버로 빼돌렸다고 밝혔다.
가짜 설치 파일은 소닉월이 아닌 ‘CITYLIGHT MEDIA PRIVATE LIMITED’ 명의의 코드 서명을 사용해 기본 신뢰 검사를 회피했다. 분석 결과, 설치 패키지 내부의 NeService.exe는 인증서 검증 로직이 제거돼 모든 파일을 무조건 신뢰하도록 패치됐고, NetExtender.exe에는 접속 버튼 클릭 시 입력된 사용자 이름, 비밀번호, 도메인, 서버 주소 등을 132.196.198.163:8080으로 전송하는 악성 코드가 추가됐다고 설명했다.
공격자는 검색엔진 최적화(SEO) 조작, 악성 광고(말버타이징), 소셜미디어 게시물 등을 통해 공식 사이트와 유사한 피싱 페이지로 사용자를 유도했다. 현재 소닉월 보안 솔루션과 마이크로소프트 디펜더는 해당 설치 파일을 탐지·차단하지만, 일부 보안 제품에서는 여전히 탐지되지 않을 가능성이 있다고 경고했다.
소닉월은 “소프트웨어는 반드시 sonicwall.com 또는 mysonicwall.com에서만 다운로드해야 하며, 홍보 링크나 추천 검색 결과는 무시하라”라고 당부했다. 또한 설치 전 코드 서명에 ‘SonicWall Inc.’가 정확히 표시되는지 확인하고, 다운로드 파일을 최신 백신으로 검사할 것을 권고했다.
보안업계 전문가들은 해당 사건이 복잡한 제로데이 공격이 아니더라도 신뢰할 만한 서명을 악용해 사용자 행위를 노리는 전형적 수법이라고 지적했다. 라피드세븐(Rapid7)의 탐지·대응팀 책임자 로니 베스트는 “검색 결과를 통한 설치 파일 배포는 여전히 큰 맹점”이라며 “사용자가 결국 잘못된 링크를 클릭한다는 가정하에 사후 탐지와 네트워크 격리 체계를 강화해야 한다”고 강조했다.
전문가들은 “신뢰받는 설치 파일이라도 단 한 줄이 조작되면 전체 보안 체계가 무너질 수 있다”고 입을 모았다. 결국 사용자의 다운로드 습관 개선과 조직 차원의 다계층 방어 전략이 유사한 공격을 차단하는 유일한 해법이라는 점을 강조했다.
![[기술농담] 딥페이크 성착취물, 자유의 이름으로 세탁된 자본](https://www.kgnews.co.kr/data/photos/20250626/art_175072642393_8e94ab.jpg)