- FortiBleed 캠페인은 2026년 2월부터 활성화되어 전 세계 43만 대 이상 FortiGate 방화벽을 표적으로 삼았다.
- 수집된 자격 증명 규모는 약 1억 1천만 건으로 추산되며 무차별 대입과 맞춤형 악성코드 배포가 동반되었다.
- 공격 배후는 금전적 동기 기반의 러시아어권 초기 접근 브로커(IAB)로 평가되며, 국내·글로벌 기업의 즉시 점검 필요성이 커지고 있다.
FortiGate 관리 인터페이스 노출 여부와 자격 증명 통제는 오늘 가장 시급한 네트워크 보안 과제이다.
2026년 6월 23일자 The Hacker News 기사에 따르면, FortiBleed라 명명된 대규모 자격 증명 수집 작전이 최소 2026년 2월부터 전 세계 Fortinet FortiGate 방화벽 환경을 강타하고 있다. 43만 대 이상의 장비가 직접 스캔 대상이 되었고, 그 결과로 약 1억 1천만 건의 자격 증명이 유출된 것으로 추산된다. 본 글에서는 해당 캠페인의 절차와 배후를 심층 분석하고, 한국 기업 보안팀이 즉시 적용해야 할 통제 항목을 정리한다.
FortiBleed 캠페인 개요와 1억 1천만 건 자격 증명 유출의 의미
캠페인이 2026년 2월부터 본격화한 시점과 전 세계 확산 흐름
보안 커뮤니티는 FortiBleed의 초기 트래픽을 2026년 2월 초에 처음 포착했다. 당시에는 단편적인 스캔 행위로 보였으나, 3~4개월 사이에 43만 대 이상의 FortiGate 장비에서 동시 접속 시도가 관측되면서 캠페인 규모가 확정되었다. The Hacker News는 1억 1천만 건이라는 수치를 “운영자 측에서 공개한 추정치에 기반한다”고 설명하며, 실제 중복과 신뢰도를 감안해도 업계에 적지 않은 충격을 준 사건으로 평가했다. 특히 관리 인터페이스가 인터넷에 그대로 노출된 장비가 다수 포함된 것으로 알려지면서, 국내에서도 VPN 우회 접속과 기본 계정 점검의 시급성이 다시 한번 강조되고 있다.
러시아어권 초기 접근 브로커의 금전적 동기 및 운영 패턴
공격 배후는 러시아어권에서 활동하는 초기 접근 브로커(Initial Access Broker, IAB)로 지목된다. IAB는 직접 랜섬웨어를 운영하기보다 수집한 관리자 자격 증명을 다크웹 마켓플레이스에 판매해 금전적 이득을 추구한다. 분석에 따르면 이번 캠페인도 금전적 동기가 1차 목표이며, 수집된 자격 증명은 추후 랜섬웨어 운영자, 스파이 행위자, 내부자에 연쇄적으로 재판매될 가능성이 있다. 원문에서는 공격자 정체에 대해 “러시아어권 위협 행위자 그룹으로 추정”이라는 표현을 사용한 만큼, 단정보다는 추적 관점에서 접근할 필요가 있다.
43만 대 FortiGate를 무력화한 공격 절차 단계별 해부
FortiBleed의 공격 흐름은 비교적 정형화되어 있다. 아래 표는 원문과 Bleeping Computer의 Cisco Unified CM 취약점(CVE-2026-20230) 보고를 결합해 요약한 절차다.
| 단계 | 공격 행위 | 핵심 통제 실패 지점 |
|---|---|---|
| 1단계 | 전 세계 FortiGate 관리 포트(443, 8443 등) 인터넷 노출 스캔 | 관리 인터페이스 직접 노출, 비표준 포트 그대로 사용 |
| 2단계 | 수집된 1차 자격 증명 세트를 활용한 무차별 대입 및 사전 기반 로그인 시도 | 약한 비밀번호, 기본 계정 유지, 계정 잠금 정책 미적용 |
| 3단계 | 관리자 권한 탈취 후 세션 하이재킹, 정책 파일 다운로드 | 다요소 인증 부재, 권한 분리 미흡 |
| 4단계 | 맞춤형 백도어 펌웨어 변형 또는 CLI 기반 영구 접근 페이로드 배포 | 무결성 검증 부재, 중앙 로깅 미구성 |
노출 서비스 스캐닝과 관리 포트 접근 경로 확보 과정
공격자는 먼저 Shodan, Censys와 같은 공개 스캔 데이터베이스와 자체 분산 스캐너를 이용해 FortiGate의 관리 인터페이스를 탐지한다. HTTPS(443)와 FortiGate의 보조 관리 포트(8008, 8443 등)가 외부에 그대로 열려 있는 인스턴스가 1차 타깃이 된다. 이 단계에서는 단순한 노출 사실만으로 후속 단계로의 진입 가능성이 열리며, VPN 또는 점프 호스트 경유 통제가 없는 환경일수록 위험이 가중된다.
수집된 자격 증명 기반 무차별 대입과 관리자 계정 탈취
관리 포트 접근에 성공하면 공격자는 사전에 수집한 자격 증명 목록과 일반적인 ID/Password 조합을 결합해 무차별 대입을 수행한다. FortiGate의 admin 계정은 기본값이 명시적으로 비활성화되어 있더라도, 운영 중 생성한 보조 관리자 계정의 비밀번호가 약하거나 동일할 경우 빠르게 침투가 이루어진다. Bleeping Computer의 CVE-2026-20230 보고에서도 다요소 인증이 구성되지 않은 장비가 동일한 방식으로 첫 번째 침투 지점이 된 사례로 분석된다.
맞춤형 백도어 설치 및 추가 페이로드 배포 메커니즘
관리자 권한 확보 이후에는 FortiGate의 펌웨어 변형, 사용자 정의 서명 등록, CLI 스크립트 삽입 등 다양한 방식으로 영구 접근을 만든다. The Hacker News는 이 과정에서 “운영자가 장비 내부에 맞춤형 악성코드를 심고, 추후 명령 서버와의 통신 채널을 암호화 형태로 유지했다”고 설명했다. 일반 로그만으로는 탐지가 어렵기 때문에, 중앙 SIEM 로그 통합과 펌웨어 무결성 모니터링이 필수 통제로 떠오른다.
FortiGate 환경에서 즉시 적용해야 할 실무 대응 체크리스트
관리 인터페이스 인터넷 노출 차단과 VPN 기반 접근 전환
가장 먼저 점검해야 할 항목은 FortiGate의 관리 인터페이스가 인터넷에 직접 열려 있는지 여부다. 가능하면 모든 관리 트래픽을 사내 VPN, 점프 호스트, 배스천 호스트로 제한하고, 방화벽 정책에서 신뢰할 수 있는 IP 대역만 허용하도록 재설정해야 한다. FortiGate의 local-in 정책과 관리자 접근용 trusted host 기능을 함께 활용하면 관리자 접근에 대한 IP 기반 제어가 가능하다.
기본 계정 제거, 강력한 비밀번호 정책, 다요소 인증 적용
관리자 계정 목록을 재점검해 미사용 계정을 즉시 비활성화하고, NIST SP 800-63B 기준에 부합하는 12자 이상의 고강도 비밀번호와 계정 잠금 정책을 적용한다. FortiGate는 LDAP/RADIUS 연동 다요소 인증과 토큰 기반 2차 인증을 지원하므로, 최소한 admin 등 최고 권한 계정에 대해서는 반드시 MFA를 강제해야 한다. 로그인 실패 횟수 기반의 자동 잠금 임계값을 5회 이하로 설정하는 것도 효과적이다.
펌웨어 최신 패치와 비정상 로그인 탐지 및 침해 흔적 모니터링
Fortinet 보안 공지(PSIRT)와 The Hacker News, Bleeping Computer가 공개한 패스트 스캔 동향, 그리고 CVE-2026-20230 같은 알려진 취약점 정보를 주기적으로 추적해 펌웨어를 최신 버전으로 유지해야 한다. 동시에 FortiGate 로그를 중앙 SIEM으로 전송하고, 비정상 시간대 관리자 로그인, 알 수 없는 IP에서의 성공 인증, 대량의 설정 변경 이벤트를 실시간 알림으로 받도록 구성한다. 침해 흔적 분석을 위해 펌웨어 백업본과 설정 스냅샷을 오프프라인 저장해 두면 사고 발생 시 비교 분석이 가능하다.
- FortiBleed는 2026년 2월 이후 43만 대 이상 FortiGate를 표적으로 삼아 약 1억 1천만 건의 자격 증명을 추출한 대규모 IAB 캠페인이다.
- 공격은 인터넷 노출 스캔 → 자격 증명 수집 → 무차별 대입 → 관리자 탈취 → 맞춤형 백도어 설치의 4단계로 진행된다.
- 배후는 금전적 동기의 러시아어권 IAB로 평가되며, 수집된 자격 증명은 다크웹에서 다른 위협 행위자에게 재판매될 가능성이 높다.
- 관리 인터페이스 노출 차단, MFA 적용, 펌웨어 패치, 중앙 로그 모니터링의 4대 통제를 1주일 이내에 점검해야 한다.
- 국내 CISO와 보안 운영팀은 본 캠페인을 계기로 네트워크 장비 접근 통제 정책과 침해 흔적 모니터링 체계를 재정비할 필요가 있다.
참고 자료: The Hacker News – FortiBleed Targeted FortiGate Firewalls in 110 Million-Credential Harvesting Operation, Bleeping Computer – Cisco Unified CM flaw CVE-2026-20230 now exploited in attacks