Fortinet FortiSandbox, 24시간 안에 3건 결함이 동시에 뚫렸다: 패치 직후에도 멈추지 않은 공격의 실체

2026년 6월 16일 기준, Fortinet FortiSandbox 제품군에서 3건의 보안 결함이 동시에 실제 공격에 사용되고 있는 것이 위협 인텔리전스 기업 Defused Cyber의 관측을 통해 확인됐다. 이 가운데 CVE-2026-39813은 CVSS 9.1을 받아 Critical 등급으로 분류됐으며, 결함 중 1건은 지난주에 패치가 공개된 직후라 패치 적용 지연 구간에서의 악용 사례라는 점에서 보안 운영자들의 각별한 주의가 요구된다.

개요: FortiSandbox에서 동시 발견된 3건의 결함

Defused Cyber, 24시간 내 세 CVE 익스플로잇 시점 관측

Defused Cyber는 자사 위협 인텔리전스 플랫폼에서 FortiSandbox를 향한 공격 트래픽을 실시간으로 모니터링하던 중, 기사 게재 시점을 기준으로 최근 24시간 이내 3건의 CVE에 대한 실제 익스플로잇 시도를 포착했다. 공격 시점과 출처가 거의 동시에 포착된다는 점에서, 이는 공개 시점 이전부터 인터넷 상에서 익스플로잇 코드가 스캐닝되어 왔을 가능성을 간접적으로 시사한다.

CVE-2026-39813(CVSS 9.1)의 패스 트래버설 이슈 정리

세 결함 중 가장 심각한 것은 CVE-2026-39813으로, CVSS 9.1을 받아 Critical 등급으로 분류됐다. 이 결함은 FortiSandbox의 관리 인터페이스 중 하나인 JRPC API에서 입력 경로 검증을 우회하는 패스 트래버설(path traversal) 형태로 나타난다. 일반적인 패스 트래버설은 시스템 명령 실행으로 이어질 수 있는중요 파일 노출로 이어질 수 있어 점수 산정에서도 Critical로 평가된 것으로 분석된다.

기술적 분석: JRPC API라는 공격면이 갖는 의미

JRPC API의 위치와 노출 경로 추정

FortiSandbox의 JRPC API는 장비 운영 및 샌드박스 작업 흐름 제어용으로 사용되는 관리 채널이다. 일반적인 기업 환경에서는 관리 인터페이스가 운영망과 분리되어 있으나, 부주의한 초기 설정, VPN을 통한 원격 관리 노출, 혹은 점검용 포트 개방 등으로 인터넷에 직접 노출되는 사례가 반복적으로 보고되어 왔다. 이번 3건의 결함이 단기간에 동시 악용된 배경에는 JRPC API의 노출 표면이 일정 규모 이상 존재한다는 점이 작용한 것으로 보인다.

패스 트래버설을 통한 시스템 명령 실행 시나리오

패스 트래버설은 입력값에 ../ 같은 경로 이동 문자열을 삽입해 의도된 디렉터리 바깥의 자원에 접근하는 기법이다. JRPC API의 인증 이후 호출 지점에서 이 결함이 트리거된다면, 공격자는 관리 권한이 없는 상태에서도 장치 내부 명령을 실행하거나 설정 파일을 읽어낼 수 있다. 특히 FortiSandbox는 악성 샘플을 격리해 분석하는 역할을 수행하므로, 해당 장비 자체가 침해되면 분석 결과의 신뢰도도 함께 훼손될 가능성이 있다.

패치 vs 익스플로잇: 제로데이에 준하는 시간차

지난주 패치된 1건이 곧바로 악용된 사실의 의미

3건의 결함 중 1건은 지난주에야 패치 노트가 공개된 사안이다. 공개된 패치에는 일반적으로 결함의 일부 원인과 권고 사항이 함께 포함되며, 이를 토대로 익스플로잇 코드를 역설계하거나 공개 리포지토리의 패치 차이점을 분석해 공격 도구를 만드는 것은 공격자 집단에 있어 표준적인 작업 흐름이다. 이번 사례는 패치 노트 공개와 거의 동시에 실제 공격이 관측된 점에서, 제로데이와 유사한 시간차 공격이 이미 일상화되었음을 보여준다.

패치 노트와 익스플로잇의 시간 그래프 개념화

일반적인 취약점 대응 흐름은 취약점 발견, 패치 개발, 패치 공개, 사용자 적용, 익스플로잇 공개 순으로 진행된다. 그러나 최근의 흐름은 패치 공개와 익스플로잇 공개 사이의 간격이 사실상 0에 수렴하고, 일부 결함의 경우 패치 적용이 완료되기 전 단계에서부터 익스플로잇이 이미 유통되는 이른바 N-day 가속화 현상이 관측되고 있다. 이번 FortiSandbox 사안은 그 전개 과정을 보여주는 사례형적인 사례로 평가된다.

영향 평가: 샌드박스 침해가 본 보안 체계에 미치는 파급

샌드박스-운영망 신뢰 경계 붕괴 가능성

샌드박스는 본래 운영망과 분리된 신뢰 영역에서 악성코드를 분석하기 위한 구역이다. 그러나 관리 인터페이스의 침해는 이 신뢰 경계를 무력화시킬 수 있다. FortiSandbox에서 분석된 결과, 정책 업데이트, 탐지 룰 배포 등이 운영 환경의 정책 결정에 반영되는 구조라면, 침해된 샌드박스는 거짓 정상 판정, 우회 분석 결과의 생성, 혹은 안전한 샘플로 둔갑한 추가 페이로드의 배포 통로로 악용될 가능성이 있다.

내부 분석 트래픽 오염 시나리오

만약 공격자가 FortiSandbox의 분석 파이프라인을 통제하게 된다면, 분석 대상이 되는 샘플의 일부 동작이 변경되거나, 분석 로그에 위·변조가 발생할 수 있다. 이 경우 운영자는 사고의 징후를 오히려 더 늦게 인지하게 되며, 대응 초기 단계에서 잘못된 판단을 내릴 위험이 커진다. 이 부분은 기사 원문에 명시된 내용은 아니며, 분석 인프라 침해 시 일반적으로 거론되는 영향 시나리오로 전문가적 해석에 해당한다.

대응 가이드: 운영자가 즉시 해야 할 점검 항목

FortiSandbox 펌웨어 버전 및 패치 레벨 확인 절차

첫 번째 조치는 FortiSandbox 펌웨어의 현재 버전을 확인하고, Fortinet이 공개한 보안 권고에서 안내하는 최소 권장 버전 이상으로 업데이트하는 것이다. Fortinet PSIRT 권고문에는 영향 버전과 해결 버전이 명시되어 있으며, 패치가 어려운 환경에서는 공식 문서에서 안내하는 우회 설정, 예를 들어 JRPC API의 비활성화, 관리 인터페이스에 대한 접근 제한 등을 우선 적용해야 한다.

JRPC API 네트워크 분리 및 접근 통제 강화 방안

두 번째 조치는 JRPC API의 노출 경로를 점검하는 것이다. 일반적인 보안 모범 사례에 따르면, 관리 인터페이스는 운영 트래픽과 물리적/논리적으로 분리된 별도 관리 VLAN에 위치시키고, IP 허용 목록, MFA, 그리고 강력한 인증서를 적용해야 한다. 또한 비정상적인 API 호출 패턴, 예를 들어 짧은 시간 내 다수의 경로 파라미터 변조 시도 등은 SIEM/로그 분석 도구에서 즉시 탐지되도록 룰을 강화할 필요가 있다.

FortiSandbox 3건 결함 주요 지표 요약

CVE 식별자	CVSS	유형	패치 시점	관측 시점
CVE-2026-39813	9.1 (Critical)	JRPC API 패스 트래버설	공식 패치 진행 중	24시간 내 실제 익스플로잇 관측
CVE-2026-39808	관련 정보 공개	FortiSandbox 결함	지난주 패치	24시간 내 실제 익스플로잇 관측
CVE-2026-25089	관련 정보 공개	FortiSandbox 결함	관련 정보 공개	24시간 내 실제 익스플로잇 관측

결론: 분석 인프라도 공격 대상이라는 인식 전환의 필요

Fortinet FortiSandbox에서 24시간 이내 3건의 결함이 동시에 실제 공격에 사용된 이번 사례는, 악성코드를 분석하기 위한 인프라 자체가 새로운 1차 공격면이 되었음을 분명히 보여준다. 특히 패치 노트 공개와 익스플로잇 등장 사이의 시간차가 사실상 0에 가까워지고 있다는 점은, 보안 운영자에게 패치 적용 지연이 곧바로 침해 사고로 이어질 수 있다는 사실을 다시 한번 일깨운다. 분석 인프라의 보안을 운영 환경과 동일한 수준으로 다루는 자세가야말로, 향후 유사한 위협에 대응하기 위한 출발점이라 할 수 있다.

#Fortinet #FortiSandbox #CVE-2026-39813 #CVE-2026-39808 #CVE-2026-25089 #JRPC_API #패스_트래버설 #CVSS_9_1 #Defused_Cyber #패치_익스플로잇_시간차 #샌드박스_침해 #관리_인터페이스_보안 #위협_인텔리전스

참고 자료:

• The Hacker News 원문 기사
• Dark Reading 보안 전문 매체