AI가 도와준 위협 행위자, 55개국 600대 FortiGate 장치 해킹
Amazon Threat Intelligence가 Russian-speaking 위협 그룹이 생성형 AI를 활용해 55개국 600대 이상의 FortiGate 장치를 침해한 것을 확인했습니다.
기술적 역량이 제한된 공격자가 AI 도구로 공격을 자동화했으며, FortiGate 취약점이 아닌 노출된 관리 포트와 약한 자격 증명을 악용했습니다.
피해 조직의 Active Directory 환경을 침해하고 전체 자격 증명 데이터베이스를 추출했으며, 랜섬웨어 배포 전 단계로 백업 인프라도 노렸습니다.
🎯 인사이트: AI가 사이버 범죄의 장벽을 낮추고 있습니다. 기술적 미숙한 공격자도 대규모 침해가 가능해졌습니다.
무슨 일이 있었나
Amazon의 통합 보안 책임자 CJ Moses CISO는此次 보고서에서 중요한 점을 지적했습니다. “FortiGate 취약점을 이용하지 않았습니다. 대신 노출된 관리 포트와 약한 자격 증명, 단일_factor 인증이라는 기본적인 보안 결함을 AI가 미숙한 공격자가 대규모로 악용하도록 도왔습니다.”
흥미로운 건 이 위협 행위자가 기술적으로 매우 제한적이었다는 점입니다. 그들은 다양한 상업적 생성형 AI 도구에 의존해 공격 주기의 여러 단계를 구현했습니다. 도구 개발, 공격 계획, 명령 생성 등이 포함됩니다. 한 AI 도구가 주요 기반으로 사용되었고, 두 번째 AI 도구는 특정 침해 네트워크 내에서 피벗하는 데后备으로 활용했다고 합니다. 어떤 AI 도구가 사용되었는지는 공개되지 않았습니다.
이 그룹은 재정적 이익을 추구하는 것으로 분석되었으며, 국가 지원 자원을 가진 고급 지속적 위협과 관련이 없습니다. Google도 최근 생성형 AI 도구가 위협 행위자에 의해 점점 더 많이 채택되고 있다고 보고한 바 있습니다.
어떻게 진행되었나
공격의 핵심은 FortiGate 어플라이언스를 침해하여 전체 장치 구성을 추출하는 것이었습니다. 이를 통해 자격 증명, 네트워크 토폴로지 정보, 장치 구성 정보를 확보할 수 있었습니다.
공격자들은 포트 443, 8443, 10443, 4443에서 인터넷에 노출된 FortiGate 관리 인터페이스를 체계적으로 스캔했습니다. 그런 다음 자주 재사용되는 자격 증명을 사용해 인증을 시도했습니다. 이 활동은 sector-agnostic이며 취약한 어플라이언스를 자동 대규모 스캔하는 것을 나타냅니다. 스캔은 IP 주소 212.11.64[.]250에서 시작되었습니다.
침해 후 위협 행위자는 피해자 네트워크에 VPN 접근을 하고 Go와 Python으로 작성된 다양한 버전의 사용자 정의 정찰 도구를 배포했습니다. 소스 코드 분석 결과 AI 지원 개발의 명확한 지표가 나타났습니다. 기능 이름만 다시 설명하는冗長한 코멘트, 형식보다 기능에不相칭한 투자, 적절한 역직렬화 대신 문자열 매칭을 통한 순진한 JSON 구문 분석, 빈 문서 스텁이 있는 언어 내장 호환성 Shim 등이 있습니다.
추가적인 침해 활동
그 외에도 위협 행위자는 DCSync 공격을 통해 도메인 침해를 달성하고, pass-the-hash/pass-the-ticket 공격, NTLM 중계 공격, Windows 호스트에서 원격 명령 실행을 통해 네트워크 내에서 측면 이동했습니다. 또한 Veeam Backup & Replication 서버를 대상으로 하여 알려진 Veeam 취약점(CVE-2023-27532, CVE-2024-40711)을 악용하는 자격 증명 수집 도구와 프로그램을 배포했습니다.
왜 중요한가
Amazon은 공개적으로 접근 가능한 공격자 인프라를 식별했습니다. 여기에는 AI가 생성한 공격 계획, 피해자 구성, 사용자 정의 도구의 소스 코드 등 캠페인과 관련된 다양한 아티팩트가 호스트되었습니다. 전체 작동 방식은 “사이버 범죄를 위한 AI 기반 조립선”에 비유됩니다.
특히 주목할 만한 것은 위협 행위자가 “가장 간단하고 자동화된 공격 경로”를 넘어서는 것을 시도할 때 반복적으로 실패했다는 점입니다. 자체 문서에서 대상이 서비스를 패치했거나 필요한 포트를 닫았거나 취약한 악용 벡터가 없다고 기록했습니다.
Moses는 말합니다. “그들은 재정적으로 동기가 부여된 개인이나 소규모 그룹으로, AI 증강을 통해 이전에는 훨씬 더 크고 숙련된 팀이 필요했을 운영 규모를 달성했습니다.”
2026년에도 이 추세가 계속될 것으로 예상됩니다. “조직은 기술적으로 숙련된 적대자로부터 숙련되지 않은 적대자에 이르기까지 AI 증대 위협 활동이 계속 증가할 것으로 예상해야 합니다.”
방어 방법
Fortinet 어플라이언스가 위협 행위자의 매력적인 표적이 되고 있는 만큼, 조직은 다음 사항을 确保해야 합니다.
- 관리 인터페이스를 인터넷에 노출하지 않기
- 기본 및 일반 자격 증명 변경하기
- SSL-VPN 사용자 자격 증명 순환하기
- 관리 및 VPN 접근에 다단계 인증 구현하기
- 무단 관리 계정 또는 연결에 대한 감사하기
- 백업 서버를 일반 네트워크 접근에서 격리하기
- 모든 소프트웨어 프로그램이 최신 상태인지 확인하기
- 의도하지 않은 네트워크 노출 모니터링하기
“강력한 방어 기반이 가장 효과적인 대응 조치입니다: 주변 장치용 패치 관리, 자격 증명 관리, 네트워크 세그멘테이션, 침해 후 지표에 대한 강력한 탐지가 그것입니다.”
특히 AI 증강 공격이 증가하는 상황에서 기본적인 보안 조치의 중요성이 더 커지고 있습니다. 관리 포트 노출 차단, 강력한 자격 증명 사용, 다단계 인증 도입이 필수입니다.