FortiBleed 공격자, Inc·Lynx 랜섬웨어 그룹과 협업해 Fortinet 침투 권한 수익화

  • FortiBleed 공격자가 수천 대 Fortinet 방화벽을 침투한 뒤 Inc 및 Lynx 랜섬웨어 어필리에이트와 협력해 접근 권한을 수익화하고 있는 것으로 분석된다.
  • 동일 공격자는 Nextcloud 제로데이 버그를 추가 악용 벡터로 활용하며 권한 상승과 데이터 유출 가능성을 확대하고 있다.
  • Fortinet 장비 침투 이후 단독 활동이 아닌 다중 랜섬웨어 에코시스템과의 협업이 확인됨에 따라 공급망형 위협의 사례 중 하나로 부상하고 있다.

침투·거래·악용·유출이 한 사이클으로 연결되는 협력형 랜섬웨어 흐름을 사전에 차단하려면 방화벽 패치와 가시성 확보가 동시에 수행되어야 한다.

2026년 7월 Dark Reading의 Threat Intelligence 섹션에 따르면, FortiBleed 공격자는 Fortinet 방화벽을 거점으로 확보한 네트워크 접근 권한을 여러 랜섬웨어 운영 조직과 공유하며 공격 수명을 극대화하고 있다. 본 보고서는 초기 침투에서 랜섬웨어 배포, 추가 제로데이 악용에 이르는 전 과정을 단계별로 해부하고, 기업이 즉시 점검해야 할 통제 항목을 제시한다.

FortiBleed 공격 캠페인 개요

Fortinet 방화벽 침투 경로와 영향 범위

FortiBleed 캠페인은 공개된 Fortinet 장비 취약점을 중심으로 확산되며, 분석에 따르면 수천 대 규모의 방화벽에서 비정상 트래픽과 관리자 세션 흔적이 동시에 관찰된 것으로 추정된다. 침투 이후 공격자는 관리 인터페이스 자격 증명을 탈취하고 내부 네트워크로 횡적 이동할 수 있는 발판을 확보한다. 침투 경로가 다수 확인됨에 따라 단일 패치만으로는 노출 지점을 완전히 폐쇄하기 어렵다는 점이 다시 한번 부각되고 있다.

공격자 그룹 프로파일링

분석가들은 FortiBleed 공격자를 독립 행위자가 아닌 연계형 운영 세력으로 규정한다. 해당 집단은 초기 침투에 그치지 않고 확보한 권한을 다수의 랜섬웨어 어필리에이트에 판매 또는 대여하는 구조를 갖춘 것으로 추정된다. 즉 침투 인프라의 운영자와 수익화 주체가 분리되어 있으며, 이는 랜섬웨어 서비스형 거래 모델의 고도화된 형태로 해석된다.

Inc 및 Lynx 랜섬웨어 갱과의 협업 구조

접근권 거래 및 수익화 모델

Inc와 Lynx 랜섬웨어 그룹은 각각 별도의 페이로드를 운용하지만, FortiBleed 공격자로부터 제공받은 초기 접근권(Initial Access Broker) 위에서 동작한다. 표 1은 협업 구조에서 나타난 주요 역할을 정리한 것이다.

단계 주체 역할 핵심 행동
침투 FortiBleed 공격자 Fortinet 방화벽 침투 관리자 자격 증명 탈취 및 백도어 설치
거래 초기 접근 브로커 접근권 중개 암호화 구간 및 도메인 권한 판매
암호화 Inc / Lynx 그룹 랜섬웨어 배포 데이터 암호화 및 금전 요구
유출 운영 협력자 데이터 공개 압박 탈취 자료 유출 사이트 게시

이 모델에서는 침투가 발생해도 즉시 암호화가 이루어지지 않을 수 있어, 기업 보안팀이 침해 시점을 인지하지 못하면 랜섬웨어 단계까지 노출이 확대될 위험이 커진다.

랜섬웨어 에코시스템의 자원 공유 흐름

분석에 따르면 FortiBleed 공격자는 확보한 권한을 단일 갱에 전량 판매하지 않고, 피해 조직의 가치에 따라 여러 어필리에이트에 분배하는 것으로 보인다. 이로 인해 동일 피해자 환경에서 Inc와 Lynx의 흔적이 동시에 발견되는 사례가 보고되고 있으며, 전통적인 단일 행위자 추적 방식의 한계가 드러난다. 에코시스템 내부에서는 침투 도구, 자격 증명, 클라우드 토큰까지 거래되며 공격 비용이 낮아지는 반면 방어 난이도는 지속적으로 상승하고 있다.

Nextcloud 제로데이 연쇄 악용

취약점 악용 시나리오

FortiBleed 공격자는 Nextcloud 협업 플랫폼에서 발견된 제로데이 버그를 추가 악용 벡터로 활용하고 있는 것으로 분석된다. 해당 취약점은 인증 우회 또는 권한 상승 시나리오와 결합될 경우, 이미 침투한 내부 네트워크에서 클라우드 협업 저장소까지 영향 반경이 빠르게 확장될 가능성을 내포한다. 제로데이 특성상 공식 패지 배포 이전에는 시그니처 기반 탐지가 사실상 무력화될 수 있어 기업 입장에서는 평소 대비가 더욱 중요해진다.

데이터 유출 및 횡적 이동 위험

FortiBleed 침투와 Nextcloud 제로데이 취약점은 권한 상승과 데이터 유출의 이중 위협으로 연결된다. 내부 사용자의 협업 폴더에 저장된 설계 문서, 고객 정보, 코드 저장소가 노출될 경우 단순 금전 요구를 넘어 산업 스파이 수준의 피해로 확대될 수 있다. 또한 권한 상승을 통해 도메인 컨트롤러, 백업 서버, 보안 도구에 접근할 가능성도 제기되며, 이는 사고 복구 절차 자체를 위협하는 결과로 이어질 수 있다.

기업 대응을 위한 보안 시사점

Fortinet 패치 및 설정 점검 권고

우선 모든 Fortinet 방화벽과 관련 관리 콘솔에 대해 최신 펌웨어 적용 여부를 즉시 점검해야 한다. 패치가 어려운 환경에서는 가상 패치, IPS 룰, 관리 인터페이스 IP 제한 등 다층 통제가 실질적 완충 역할을 수행한다. 동시에 Admin 세션 감사, 비정상 로그 검토, 신뢰되지 않은 VPN 세션 제거를 병행해야 침해 흔적을 조기에 식별할 수 있다.

공급망 전반의 가시성 확보 및 침해 흔적 추적 전략

랜섬웨어 협업형 공격은 침투와 활용 단계가 분리되어 있어 단일 제품의 로그만으로는 연쇄 침해를 추적하기 어렵다. 따라서 Fortinet, Nextcloud, Active Directory, 클라우드 IAM까지의 통합 가시성 확보가 핵심 통제 항목으로 부상한다. 외부 위협 인텔리전스 공유와 초기 접근권 거래 모니터링을 결합할 때, 침해가 랜섬웨어 단계로 발전하기 전 사전 차단이 가능해진다.

  • FortiBleed 공격자는 Fortinet 방화벽 침투 이후 Inc·Lynx 랜섬웨어와 협업해 접근권을 수익화하며 단독 공격 대비 피해 확대 속도가 빠르다.
  • Nextcloud 제로데이 연쇄 악용은 권한 상승과 데이터 유출 반경을 확장하므로 클라우드 협업 영역의 취약점 점검을 동시에 수행해야 한다.
  • 랜섬웨어 에코시스템은 침투·거래·배포가 분리되어 있어, 침해 지표가 나타나면 즉시 패치뿐 아니라 가시성 확보와 접근권 거래 모니터링을 병행해야 한다.
  • 기업은 Fortinet 패치 적용과 동시에 관리 세션 감사, 다층 통제, 외부 위협 인텔리전스 공유를 통해 협력형 공급망 위협에 선제 대응해야 한다.

참고 자료:
Dark Reading 원문,
The Hacker News 관련 기사.

FortiBleed | Fortinet 방화벽 | Inc 랜섬웨어 | Lynx 랜섬웨어 | Nextcloud 제로데이 | 랜섬웨어 협업 | 공급망 공격 | Threat Intelligence | 방화벽 취약점 | 권한 상승 | 데이터 유출 | 사이버 위협 | 보안 권고 | 엔터프라이즈 보안

댓글 남기기