Fortinet FortiClient EMS 신규 취약점, 공격에 악용 – 긴급 패치 배포

사건 개요: FortiClient EMS의 신규 취약점(CVE-2024-35616)

보안기업 Fortinet은 자사의 엔드포인트 관리 솔루션 FortiClient Enterprise Management Server(EMS)에서 발견된 신규 치명적 취약점(CVE-2024-35616)이 실제 공격에 활용되고 있음을 공식적으로 확인했습니다. 이 취약점은 인증 우회 취약점으로, 공격자가 최소 권한만으로 원격에서 시스템을 완전히 제어할 수 있다는 심각한 보안 결함입니다.

Fortinet은 2024년 6월, 해당 취약점에 대한 위협이 확인됨과 동시에 긴급 패치를 주말 내에 배포했습니다. Fortinet 보안 권고(FG-IR-24-162)를 통해 자세한 정보를 공지했으며, 보안 커뮤니티에도 관련 침해지표(IOC) 등이 공유되고 있습니다.

취약점의 기술적 상세 및 영향

국가 취약점 데이터베이스(NVD)에 따르면, CVE-2024-35616은 FortiClient EMS에서 인증을 우회해 관리자 콘솔에 무단 접근할 수 있게 하는 위험한 결함입니다.

이 취약점이 유발할 수 있는 주요 피해는 다음과 같습니다:

• 원격 코드 실행(RCE) 위험: 인증 차단 없이 공격자가 임의 코드 실행 가능
• 권한 상승: 제한된 접근 권한으로도 관리자급 제어 권한 탈취
• 엔드포인트 장악: 연결된 클라이언트 전체에 추가 공격 확대 가능

특히 FortiClient EMS는 기업 환경에서 다수의 엔드포인트를 중앙 관리하는 용도로 사용되기에, 이 서버 침해 시 전체 네트워크로 위협이 급격히 확산될 수 있습니다.

실제 공격 사례 및 업계 대응 동향

현재 해당 취약점은 실제 공격에서 활발히 악용 중입니다. 보안 커뮤니티에서 영구적으로 관찰되는 한편, 침해지표(IOC) 정보도 서로 공유되는 등 위협 수준이 높아지고 있습니다. FortiClient EMS가 관리상 인터넷에 노출된 사례가 많아 적극적인 공격이 확인되고 있습니다.

미국 사이버보안 및 인프라보안국(CISA) 역시 이 취약점을 공식적으로 위험 목록(KEV)에 등재했으며, 연방 및 민간 기관에 신속한 패치 적용과 대응을 강력히 권고했습니다. 관리 기관도 2024년 6월 이내 패치 완료를 지시하고 있습니다.

Fortinet의 패치 배포 및 보안 권고

Fortinet은 취약점 공개와 동시에 긴급 보안 패치를 배포했습니다. 해당 패치는 Fortinet 보안 공지(FG-IR-24-162)에서 상세히 안내되어 있으며, 영향받는 버전 및 패치 버전이 명시되어 있습니다. Fortinet은 다음과 같은 즉각적 조치를 권고합니다.

• 최신 패치 적용: FortiClient EMS 서버에 배포된 최신 보안 패치를 반드시 신속하게 적용
• 인터넷 노출 점검: EMS 서버가 외부에서 직접 접근되지 않도록 네트워크 접근 제한 강화
• 모니터링 강화: 비정상 접속 시도 및 IOC 관련 로그를 집중적으로 확인
• 침입 탐지 강화: 관제 시스템에서 최신 공격 시그니처 탐지 활성화

기업과 기관에 대한 대응 권고 및 보안 인사이트

이번 취약점은 엔드포인트 관리 솔루션이 기업 네트워크의 핵심 보안 게이트웨이임을 다시 확인하는 계기가 되었습니다. 실제 공격이 확인된 취약점은 패치 적용 전이라도 네트워크 분할, 웹 방화벽 적용, 24시간 관제 등 추가 보호 조치를 병행해야 합니다.

또한 공식 취약점 데이터베이스(예: CISA KEV 카탈로그) 모니터링 및 관리 프로세스 자동화, 그리고 중요 시스템 우선 패치 적용이 필수적입니다.

결론 및 전망

CVE-2024-35616는 FortiClient EMS를 사용하는 모든 기업과 기관에 즉각적이고 강력한 대응을 요구하는 심각한 보안 위협입니다. 실제 공격 사례가 발생한 만큼, 모든 조직은 신속한 패치 적용과 서버 노출 현황 점검, 그리고 위협 모니터링을 강화해야 합니다.

보안 전문가들은 엔드포인트 관리 솔루션의 정기 보안 진단, 취약점 스캔, 그리고 탐지 시스템의 최신화가 추후 유사 위협으로부터 조직을 보호하는 가장 효과적인 방법임을 강조합니다.