AI 지원하는 해커, 5주 만에 55개국 600개 FortiGate 방화벽 뚫었다
Amazon이 공개한 보고서에 따르면, 러시아어 사용 해커가 AI 서비스를 적극 활용하여 5주 동안 55개국 600개 이상의 FortiGate 방화벽을 침해했습니다.
제로데이 익스플로잇이 아닌 관리 인터페이스 노출과 약한 비밀번호를 노렸으며, AI 도구로 자동화된 탐색과 측면 이동을 수행했습니다.
상용 AI 서비스가 위협 행위자의 진입 장벽을 크게 낮추고 있어 기본적인 보안 강화가 시급합니다.
🎯 인사이트: AI가 해킹의 민주화를 진행하고 있습니다. 저Skill_set도 AI 도움으로 고Skill 공격이 가능해졌습니다.
무자비한 AI 공격의 실체
Amazon의 통합 보안 팀을 이끄는 CISO CJ 모세스는 이번 공격 캠페인이 FortiGate 관리 인터페이스를 인터넷에 노출한 기업들을 표적으로 삼았다고 설명했습니다. 해커는 443, 8443, 10443, 4443 포트에서 실행되는 서비스를 스캔하여 노출된 관리 페이지를 찾았고, 일반적인 비밀번호로 무차별 대입 공격을 시도해 진입했습니다.
한 번 침투에 성공하면 해커는 장치의 설정 파일을 추출했습니다. 여기에는 SSL-VPN 사용자 자격 증명, 관리자 계정 정보, 방화벽 정책, 내부 네트워크 구조, IPsec VPN 설정, 네트워크 토폴로지 및 라우팅 정보가 포함되어 있었습니다. 이러한 설정들은 AI로 개발된 Python과 Go 도구를 사용하여 파싱 및 복호화되었습니다.
Amazon의 연구팀은 악성 도구의 소스 코드 분석 결과, 명확한 AI 지원 개발 흔적을 발견했습니다. 함수 이름만 반복하는 불필요하게 긴 주석, 기능보다 형식에 과도한 투자, 단순한 JSON 파싱, 문서화가 부족한 호환성 레이어 등이 그 예입니다. 연구팀은 이러한 도구가 특정 용도로는 기능하지만, 강화된 환경에서는 종종 실패한다고 밝혔습니다.
자동화된 탐색과 측면 이동
침해된 네트워크에서 해커는 Meterpreter와 mimikatz를 활용한 DCSync 공격을 수행하여 Windows 도메인 컨트롤러의 NTLM 비밀번호 해시를 추출했습니다. 또한 Veeam 백업 서버를 집중적으로 표적으로 삼았는데, 이는 랜섬웨어 배포 전 백업 인프라를 먼저 탈취하여 복구를 불가능하게 만드는 전형적인 공격 패턴입니다.
해커는 취약점 악화를 위해 다양한 CVE를 활용했습니다. QNAP RCE(CVE-2019-7192), Veeam 정보 공개(CVE-2023-27532), Veeam RCE(CVE-2024-40711) 등이 그 예입니다. 하지만 패치된 시스템이나 강화된 환경에서는 반복적으로 실패했으며, 이 경우 더 쉬운 표적으로 이동하는 전략을 취했습니다.
AI가 낮춘 해킹 장벽
Amazon은 위협 행위자가 최소 두 개의 대규모 언어 모델 공급자를 활용하여 공격을 수행했다고 밝혔습니다. 단계별 공격 방법론 생성, 여러 프로그래밍 언어로 커스텀 스크립트 개발, 탐색 프레임워크 구축, 측면 이동 전략 계획, 운영 문서 작성을 AI가 도왔습니다.
한 사례에서는 위협 행위자가 침해된 내부 네트워크의 전체 토폴로지, IP 주소, 호스트명, 자격 증명, 알려진 서비스를 AI 서비스에 입력하여 네트워크 내 확산 방법을 문의했습니다. 구글로부터 유사한 보고서가 나온 바 있으며, 위협 행위자들이 Gemini AI를 사이버 공격의 모든 단계에서 악용하고 있는 것으로 확인되었습니다.
“AI 생성 코드는 특정 용도로는 기능하지만 강화된 환경에서는 종종 실패합니다. 그러나 이러한 한계에도 불구하고 AI는 위협 행위자의 역량을 크게 강화하고 있습니다.” — Amazon 통합 보안 팀
1. 관리 인터페이스 보호: FortiGate 관리 인터페이스를 인터넷에 노출하지 마세요. VPN을 통한 내부 접근만 허용하세요.
2. 다단계 인증 활성화: 모든 관리 계정에 MFA를 필수로 활성화하세요.
3. 비밀번호 정책 강화: VPN 비밀번호가 Active Directory 계정과 동일하지 않도록 하고, 강력한 비밀번호를 사용하세요.
4. 백업 인프라 강화: 랜섬웨어 공격에 대비하여 백업 시스템을 격리하고, 접근 권한을 엄격하게 관리하세요.