레거시 암호화는 차갑다.

거 쓰지말라면 좀 쓰지맙시다

Jun Noh
#Security #VPN #CheckPoint #IKEv1 #CVE #Ransomware #Study

오늘은 이걸 봤다.

CISA orders feds to patch Check Point flaw exploited by ransomware gangs

“랜섬웨어 갱” 워딩이 너무 폭력적이다.

그냥 이 단어 하나에 이끌려서 읽어봤는데, 그냥 흔한 레거시 알고리즘 + 클라이언트 문제였다.

피해가 좀… 커서 그렇지

취약점

  • CVE: CVE-2024-24919
  • 제품: Check Point Security Gateway (Remote Access VPN / Mobile Access blade)
  • CVSS: 8.6 (High)
  • 활발히 익스플로잇 시작: 2024년 5월 7일경 → 그 뒤로 계속 재발
  • 누가 노리는지: Qilin Ransomware affiliate. 확인된 피해만 400 곳 이상
  • CISA 마감: 2026년 6월 11일

랜섬웨어 갱이 적극적으로 쓰고 있고, 한 번 뚫리면 도메인 admin 까지 가는 길이 짧다. 그러니까 3일 안에 패치하라는 말이 나온 거다.

예? IKEv1요?

먼저 배경.

IKEv1 = Internet Key Exchange v1. IPsec VPN 에서 양쪽이 암호 키를 협상할 때 쓰는 프로토콜. 보안기사 시험에 나온다.

1998년에 나옴.

연도가 좀 어색하지 않나. 1998년. 곧 30년이다. 2005년에 IKEv2 가 나왔고, 그게 더 안전하고 빠르다.

근데 진짜 충격은 따로 있다.

2023년 4월, IETF 가 RFC 9395 로 IKEv1 을 공식 deprecated 처리. Historic status 로 옮겼다.

인터넷 표준을 정하는 그 IETF 가 “이거 이제 쓰지 마세요” 라고 못 박은 게 3년 전이다.

근데 지금이 2026년이고 — 여전히 enterprise VPN 어플라이언스에 IKEv1 가 켜져 있다.

아니, IKEv1 를 왜… 아직도…

이유는 뻔하다. legacy client 호환성. 옛날 OS, 옛날 VPN 클라이언트가 IKEv2 를 못 받으니까, “혹시 모르니까 IKEv1 도 같이 켜두자” 한 거다.

근데 그 “혹시 모르니까” 가 — 회사를 통째로 랜섬웨어에 떠넘기는 길이 됐다.

참고로 IKEv1 자체의 알려진 약점들:

  • Aggressive Mode 는 PSK (Pre-Shared Key) 의 hash 가 평문에 가까운 형태로 노출됨 → offline crack 가능
  • PFS (Perfect Forward Secrecy) 가 옵셔널
  • DoS 에 약함
  • 위에 말한 대로 IETF 도 이미 손 뗐고

이번 사건도 그 “켜둬서 잊은 함정” 에서 출발한다.

근데 진짜 원리는 IKEv1 의 결함이 아니다

기사 제목만 보면 “아 IKEv1 자체에 취약점 있구나” 싶다.

근데 실제 코드 레벨로 들여다보면 — IKEv1 의 암호학적 결함이 아니다. IKEv1 + legacy client 지원을 켜뒀을 때 같이 열리는 web endpoint 의 input validation 결함 이다.

해킹 흐름이 이렇다:

1. Check Point Gateway 가 IKEv1 + legacy client 지원으로 설정됨
   → /clients/MyCRL 같은 endpoint 가 열림
   
2. 공격자가 그 endpoint 에 path traversal 한 줄 던짐
   POST /clients/MyCRL
   payload: aCSHELL/../../../../../../etc/shadow
   
3. 서버가 입력을 sanitize 안 함 → 의도된 디렉토리 밖 파일 읽힘
   → /etc/shadow 가 평문으로 응답에 실려서 돌아옴
   
4. /etc/shadow 안의 root 해시 → offline hash crack
   → root 평문 패스워드 획득
   
5. 그 자격증명으로 VPN 인증 → 내부망 침투
   → lateral movement → 도메인 컨트롤러 → 도메인 admin
   
6. Qilin 랜섬웨어 배포

진짜 단순한 path traversal 한 줄.

해커 영화에서 막 키보드 두드리는 그런 거 아니라 — 한 줄짜리 payload 로 /etc/shadow 가 읽힌다.

이게 2024년 enterprise VPN 에서 일어난 일이라는 게 솔직히 좀 충격이다.

그래서 IKEv1 의 책임은

직접 결함은 아니다. 다만 — IKEv1 + legacy client 지원 = 취약한 endpoint 가 열린다 는 게 핵심.

IKEv1 안 쓰고 IKEv2 + machine certificate 강제로 가면 이 endpoint 자체가 노출 안 된다. 그래서 권고도 똑같다.

  1. 패치
  2. 패치 못 하면 legacy remote access client 비활성화
  3. IKEv2 만 허용
  4. machine certificate 인증 강제
  5. IPS 시그니처 켜기

레거시 호환성을 위해 켜둔 IKEv1 옵션 하나가 — 회사 전체를 랜섬웨어 한 발 거리까지 끌어다 놓은 셈이다.

그래서

OSCP 공부하면서 path traversal 이 얼마나 흔한 공격인 지 매번 봤다. 그리고 난 이게 가능한 공격 기법인지도 몰랐다.

근데 이게 2024년에 enterprise VPN 에서 그대로 일어났다는 게… 좀 그렇다.

쓰지 않는 기능은 끄자. 켜놓고 잊으면 그게 다음 CVE 다.

마치며

예, 뭐… 레거시 프로젝트 리뉴얼하는게 쉬운 것도 아니고, 옛 클라이언트 어딘가 살아있어서 못 끈다는 거, 실무에서는 다들 한 번씩 끄덕일 만한 이유다.

하지만 우린 알고있다.

그냥 작업을 할 수 없는 그럴싸한 이유 중 하나일 뿐이고, 필요가 생기면 할 수 있다.

근데 한국만 그런 줄 알았는데 — 보아하니 글로벌 enterprise 들도 다 같은 굴레에서 못 빠져나오고 있는 것 같다.

FTP 도 일반 FTP 쓰지 말라고 백날 말해봤자, 어차피 어디 중소 하청업체 개발자는 또 아무 생각 없이 쓴다.

옛날에 켜둔 거 못 끄는 게 그 자체로 죄는 아닌데, 그게 결국 랜섬웨어 공격이나 다른 정보 유출로 이어진다면… 그냥 달게 벌 받자.

쓰지말라 해짜나!!!!!!!!

마침.

목록으로 가기

다른 글 보기