FortiBleed 캠페인 분석: FortiGate 43만 대, 자격 증명 1.1억 건 유출 위협과 한국 기업 7대 점검 항목

요약 핵심

  • 규모: FortiBleed 취약점을 악용한 공격자가 약 430,000대의 FortiGate 방화벽에서 약 110,000,000건의 자격 증명을 추출한 것으로 파악된다.
  • 방식: 공격자는 Golang 기반 커스텀 스니퍼를 제작해 SSL-VPN 세션과 관리 인터페이스의 트래픽을 장기적으로 수집한 정찰형 작전을 운용 중이다.
  • 의미: 방화벽이 안전한 신뢰 경계가 아니라 자격 증명 유출의 프록시로 변질되면서, 패치 지연이 곧 2차 침해로 직결되는 공급망 보안 위험이 현실화되고 있다.

경계 보안은 더 이상 장비 도입으로 끝나는 과제가 아니라, 패치 SLA와 자격 증명 수명 주기를 함께 운영해야 지속 가능한 통제가 된다.

2026년 6월 23일자로 공개된 Dark Reading의 보도는 FortiBleed 취약점과 연결된 공격 캠페인이 단순 침투를 넘어 장기적 자격 증명 수집 작전으로 진화했음을 보여준다. 특히 Golang 기반의 스니퍼가 FortiGate 환경에서 사용된 사실은, 공격자가 방화벽 자체를 데이터 수집 노드로 재편하고 있음을 시사한다. 한국 기업 다수가 포티넷의 SSL-VPN과 웹 관리 인터페이스를 원격근무용 경계 장비로 운영한다는 점에서 국내 노출 위험은 즉각적인 점검 대상이 된다.

사건의 구조: 경계 장비가 자격 증명 프록시가 되는 과정

원문 분석에 따르면 이번 캠페인은 단일 취약점 익스플로잇이 아니라 다음 세 단계가 결합된 형태로 진행된 것으로 보인다.

  • 1단계 침투: FortiBleed(CVE-2024-21762)로 알려진 FortiOS의 SSL-VPN 메모리 노출 결함을 이용해 세션 핸들 및 자격 증명 토큰을 추출한다.
  • 2단계 상주: Golang으로 작성된 경량 스니퍼를 FortiGate 내부에 배포해 인증 정보, 세션 쿠키, API 토큰을 수집하는 것으로 보고된다.
  • 3단계 유출: 수집된 자격 증명을 외부 C2 인프라로 주기적으로 전송하고, 동일 자격 증명을 사내 SaaS, VPN, 개발자 저장소 등 횡적 이동에 재활용한다.

이 과정에서 약 430,000대의 FortiGate가 영향을 받은 것으로 보고되며, 단일 캠페인에서 약 110,000,000건의 자격 증명이 식별된 점은 공격의 규모와 지속 기간을 동시에 시사한다가 과거 봇넷 수집과 차원이 다름을 보여준다. 특히 추출 대상이 단순 웹 로그인이 아니라 VPN, 관리 콘솔, 클라우드 콘솔 접근 토큰에 걸쳐 있다는 점에서, 1차 유출 이후 랜섬웨어 침투와 공급망 변조로 이어지는 2차 피해의 문턱이 크게 낮아진 것으로 분석된다.

한국 기업이 직면한 노출 시나리오

국내 다수 기업이 포티넷 FortiGate를 본사-지사 VPN, IDC 경계, 원격근무용 SSL-VPN으로 동시에 운영한다는 점을 고려하면, 다음 세 시나리오가 동시에 성립할 가능성이 있다.

  • 패치가 지연된 FortiGate를 통과한 VPN 세션의 계정 정보가 외부로 유출되어, 동일 계정이 사내 AD, 사내 SaaS에 그대로 재사용되는 경우
  • 관리자 웹 인터페이스 자격 증명이 노출되어 방화벽 정책, NAT, 라우팅 설정이 외부에서 재설정되는 경우
  • 내부 시스템 간 트러스트가 VPN 인증에 과도하게 의존할 경우, 단일 자격 증명 유출로 핵심 인프라까지 횡적 이동이 가능한 경우

위 시나리오는 모두 단정적 사실이 아니라 국내 환경을 전제로 한 보수적 추정이나, FortiBleed 자체가 이미 패치가 공개된 취약점이라는 점에서 패치 미적용 조직에 대한 잠재적 위협으로 간주해야 한다는 분석이 있다.

즉시 점검해야 할 실행 항목 7선

  1. FortiGate 전 장비의 FortiOS 버전을 점검하고 벤더 권고 버전 이상으로 패치 적용 여부를 확인한다 (FortiBleed: 7.4.3, 7.2.7, 7.0.14 이상).
  2. SSL-VPN과 관리 웹 인터페이스의 최근 90일 인증 로그를 검토해 비정상 세션과 원거리 국가의 접속을 식별한다.
  3. 관리자 계정, VPN 계정, 서비스 계정의 다중 요소 인증 적용률을 측정하고 미적용 계정을 즉시 차단한다.
  4. 장기 사용된 정적 API 키와 VPN 사전 공유키를 회전하고, 비밀 값은 금고 기반 관리 체계로 이관한다.
  5. 방화벽 정책상 외부 노출된 관리 포트를 443, 8443 등 최소 포트로 축소하고, jump host 기반 간접 접근으로 전환한다.
  6. EDR과 네트워크 센서를 활용해 FortiGate 내부에서 Golang 바이너리, 비인가 systemd 서비스, 비정상 아웃바운드 트래픽을 탐지한다.
  7. 외부 자격 증명 유출 모니터링 서비스를 도입하고, 유출 사실이 확인될 경우 동일 계정의 사내 자원과 SaaS 접근을 즉시 무효화한다.

장기 거버넌스: 취약점 SLA와 자격 증명 수명 주기 관리

이번 사례가 보여주는 본질적 교훈은, 경계 보안의 실패가 단일 장비의 결함에서 오는 것이 아니라 운영 거버넌스의 공백에서 기인한다는 점이다. 따라서 한국 기업 보안팀은 다음 두 축을 동시에 정비할 필요가 있다.

관리 영역 기존 운영 개선 방향
취약점 패치 분기 단위 일괄 적용 Critical 등급 7일, High 30일 SLA 도입 및 예외 승인 만료일 관리
자격 증명 수명 계정 발급 후 장기 사용 90일 자동 회전, 비인간 계정은 Vault 기반 단기 토큰화
경계 장비 신뢰 SSL-VPN 인증 통과 시 내부 전 신뢰 제로트러스트 원칙에 따라 사용자, 디바이스, 위치, 행위 기반 동적 정책 적용
사고 가시성 방화벽 로그 보관 후 사후 분석 SIEM 기반 실시간 인증 이상 탐지 및 유출 자격 증명 자동 차단 연계

위와 같은 거버넌스 체계는 단일 사건 대응을 넘어, 향후 유사한 공급망형 자격 증명 유출이 발생하더라도 2차 피해의 반경을 통제 가능한 수준으로 축소하는 데 기여할 것으로 분석된다. 동시에 CISO는 경계 장비의 라이선스, 패치 이력, 책임 라인을 IT 운영, 보안, 컴플라이언스가 공동으로 관리하도록 RACI를 재정비할 필요가 있다.

결론: 경계 보안의 재정의

FortiBleed 사태는 방화벽이 더 이상 안전한 신뢰 경계로 가정될 수 없으며, 곧장 자격 증명 유출의 프록시가 될 수 있음을 적나라하게 드러냈다. 특히 약 430,000대의 FortiGate에서 약 110,000,000건의 자격 증명이 식별된 규모는, 단일 조직이 보유한 보안 통제가 글로벌 캠페인의 데이터 원천이 될 수 있음을 의미한다. 한국 기업은 패치 적용과 자격 증명 회전, 다중 요소 인증, 외부 유출 모니터링을 1차 방어선으로 재정립하고, 궁극적으로는 네트워크 위치가 아닌 신원과 행위에 기반한 접근 통제로 경계 보안의 정의를 다시 쓸 시점에 도달했다.

핵심 요약 3가지

  • FortiBleed 공격자는 FortiGate를 데이터 수집 노드로 전환해 대규모 자격 증명 풀을 구축하고 있다.
  • 국내 기업은 패치 지연 자산과 장기 사용 자격 증명을 우선적으로 정리해야 한다.
  • 경계 보안을 인증의 종착점이 아닌 자격 증명 유출의 진입점으로 재정의하는 인식 전환이 필요하다.

#FortiBleed #FortiGate #Fortinet #자격증명탈취 #Golang스니퍼 #방화벽취약점 #공급망보안 #다중요소인증 #자격증명회전 #경계보안 #CVE-2024-21762 #SSL-VPN #제로트러스트 #한국기업보안

댓글 남기기