FortiBleed 자격증명 유출 사건과 INC·Lynx 랜섬웨어 연계 위협 분석

핵심 요약

  • Bleeping Computer는 FortiBleed 자격증명 탈취 캠페인이 INC 및 Lynx 랜섬웨어 운영과 직접 연계되어 있음을 2026년 7월 1일자로 공개했다.
  • 유출 서버에는 Fortinet 관리 평면 자격증명이 평문 형태로 저장되어 있었던 사실이 확인되어 데이터 거버넌스 및 보안 통제 미비가 드러났다.
  • Fortinet은 방화벽·VPN 등 핵심 보안 인프라에서 광범위하게 사용되므로 단일 자격증명 유출이 다수 기업 및 관치(공공) 환경으로 파급될 가능성이 매우 크다.

이번 사건은 공급망 최상위 보안 장비의 자격증명 거버넌스 붕괴가 곧 랜섬웨어 침투의 사전 단계로 이어질 수 있음을 단적으로 보여준다.

2026년 7월 1일 Bleeping Computer의 Lawrence Abrams 기자는 Fortinet 핵심 장비의 자격증명을 표적으로 한 FortiBleed 캠페인이 INC 랜섬웨어와 Lynx 랜섬웨어 운영 조직과 연결되어 있다고 보도했다[1]. 유출된 자격증명이 평문으로 보관된 서버가 발견되면서 보안 업계는 단순한 계정 탈취를 넘어 공급망형 침투 위협으로 사태를 재정의하고 있다. 본 보고서는 사건의 기술적 사실과 향후 위협 시나리오를 구분해 운영 팀이 즉시 취해야 할 절차를 제시한다.

FortiBleed 캠페인 개요

취약점 노출 경위와 자격증명 유출 규모

FortiBleed 캠페인은 Fortinet 관리 평면에서 사용되는 운영자 및 서비스 계정의 자격증명을 대규모로 탈취한 정찰형 공격으로 분류된다. Bleeping Computer 원문에 따르면 해당 캠페인은 같은 달 초 분석된 서버에서 증거가 확보되었으며, 자격증명은 평문 상태로 저장되어 있어 접근 통제와 암호화 정책이 사실상 작동하지 않았던 것으로 확인되었다[1].

평문 자격증명 저장 서버가 발견되기까지의 과정

분석가들은 동일 월 초 진행한 서버 포렌식 과정에서 자격증명 디렉터리 구조와 평문 파일 흔적을 식별했다. 해당 서버는 랜섬웨어 운영 조직과 연결된 인프라 일부로 추정되며, 단순한 사용자 PC가 아닌 관리자 워크스테이션 또는 백업 노드일 가능성이 분석되었다. 이러한 저장 방식은 운영 정책과 감사 체계 부재라는 별도의 거버넌스 이슈를 동시에 드러낸다.

유출된 Fortinet 계정의 권한과 도달 범위

유출 계정은 FortiGate 방화벽, FortiClient EMS, FortiAnalyzer 등 핵심 구성 요소의 관리 인터페이스 권한을 포함하는 것으로 알려졌다. 단일 자격증명이 정책 변경, VPN 구성 수정, 로그 삭제 권한을 동시에 보유할 경우 공격자는 인증 후 즉각적인 측면 이동과 탐지 회피가 가능해진다. 실제로 The Hacker News의 후속 분석도 이러한 권한 집중이 침투 시간을 크게 단축시킨다고 평가했다[2].

INC 및 Lynx 랜섬웨어와의 연계

자격증명 유출과 랜섬웨어 운영자 귀속 증거

분석가들은 유출 서버에서 발견된 도구, 스크립트, 워크플로 흔적을 INC 및 Lynx 랜섬웨어 운영 조직의 기존 TTP(Tactics, Techniques, Procedures)와 비교했다. 보고된 증거에 따르면 자격증명 수집 단계에서 사용된 자동화 스크립트와 랜섬웨어 배포 단계의 인프라가 동일 IP 블록과 도메인 등록 패턴을 공유하는 것으로 나타났다. 이는 두 조직이 자격증명 수집을 공동으로 수행했거나 한 측의 인프라를 공유했을 가능성을 시사한다.

탈취 자격증명을 활용한 초기 침투 및 측면 이동 시나리오

유출 자격증명을 활용한 침투 시나리오는 다음과 같은 단계로 추정된다. 첫째, Fortinet 관리 평면 인증을 통해 VPN 터널 또는 SSL-VPN 진입점을 확보한다. 둘째, 내부 VLAN 간 라우팅 정책과 방화벽 규칙을 재구성해 탐지 시스템의 가시성을 저하시킨다. 셋째, 내부 AD(Active Directory) 환경으로 측면 이동을 수행해 도메인 관리자 권한을 확보한다. 이 단계까지의 평균 소요 시간은 수 시간에서 1일 이내로 추정된다.

침투 단계에서 랜섬웨어 배포까지의 공격 사슬

랜섬웨어 배포 단계는 측면 이동과 데이터 탈취, 암호화 실행의 3단계로 구성된다. 본 캠페인의 경우 자격증명 유출 시점부터 랜섬웨어 실행 시점까지의 갭이 짧아 초기 침투와 암호화 사이의 탐지 윈도우가 매우 좁다. 공격 사슬을 정리하면 다음 표와 같다.

단계 주요 행위 탐지 시그니처
자격증명 수집 관리 평면 계정 평문 저장 파일 탈취 비정상적 파일 다운로드, 평문 자격증명 트래픽
초기 침투 유효 자격증명으로 VPN/관리 콘솔 로그인 비업무 시간 관리 평면 로그인, 지리적 이상
측면 이동 정책 재구성, AD 권한 상승 대량 GPO 변경, 신규 관리자 계정 생성
데이터 탈취 클라우드 스토리지 및 외부 전송 대용량 아웃바운드, 비인가 클라우드 도메인
랜섬웨어 실행 엔드포인트 및 서버 일괄 암호화 볼륨 섀도 복사본 삭제, 대량 파일 변경

영향 범위와 위협 표면

Fortinet 장비의 기업 및 관치 환경 침투율

Fortinet은 글로벌 기준으로 중대형 기업과 관치 기관의 방화벽·VPN 시장에서 높은 침투율을 유지하고 있다. 단일 벤더의 자격증명이 대량 유출될 경우 영향 반경은 단일 조직을 넘어 산업 전반으로 확산될 가능성이 크다. 이러한 이유로 본 사건은 공급망 보안 관점에서도 주요 이슈로 분류된다.

관리 평면 자격증명 단일 유출의 파급 효과

관리 평면 자격증명은 일반 사용자 계정과 달리 정책 변경, 로그 삭제, 원격 코드 실행 권한을 함께 보유한다. 따라서 한 건의 유출이 네트워크 전반의 보안 통제 무력화로 직결될 수 있다. 이번 사례에서 평문 저장이 확인된 만큼, 유사한 관리 미비가 다수 조직에 존재할 가능성도 배제할 수 없다.

유출 자격증명 재판매 및 다중 공격자 공유 가능성

과거 랜섬웨어 계열은 탈취한 자격증명을 액세스 브로커를 통해 재판매하거나 다른 그룹과 공유하는 패턴을 반복해 온 것으로 보고된다. FortiBleed에서 확보된 자격증명 역시 2차 유포될 가능성이 있으며, 다수의 공격자가 동시에 침투를 시도할 경우 단일 조직의 탐지 부하가 급격히 증가한다. 위협 인텔리전스 채널을 통한 조기 공유 여부가 피해 확산을 좌우하는 핵심 변수로 부상한다.

대응 권고

즉시 자격증명 로테이션 및 관리 평면 점검 절차

운영 팀은 우선 Fortinet 관리 평면의 모든 계정과 API 키에 대해 강제 로테이션을 즉시 시행할 필요가 있다. 동시에 로컬 사용자, LDAP 연동, SAML 페더레이션 계정의 권한 범위를 재점검하고 불필요한 권한을 제거해야 한다. 관리 인터페이스 접근 IP 대역 화이트리스트와 MFA 강제 적용은 가장 먼저 완료되어야 할 통제 항목이다.

탐지 강화와 랜섬웨어 초기 침투 시그니처 모니터링

SIEM과 EDR에서는 비정상 시간대 관리 평면 로그인, 정책 파일 변경, 대량 GPO 수정 이벤트를 상관 분석하도록 룰을 강화해야 한다. 특히 평문 자격증명 검색 행위와 랜섬웨어 배포 직전의 탐색 활동을 함께 추적하면 침투 단계에서 차단할 가능성이 높아진다. The Hacker News가 제시한 유사 침해 지표를 내부 탐지 룰에 반영하는 것이 권장된다[2].

공급망 관점의 제로트러스트 및 자격증명 거버넌스 재설계

단일 벤더 신뢰에 기반한 보안 모델은 이번 사건으로 한계가 드러났다. 장기적으로는 제로트러스트 원칙에 따라 관리 평면 접근을 최소 권한 단위로 분할하고, 자격증명 수명을 단축하며, 모든 관리 작업에 사용자 행동 분석을 적용해야 한다. 또한 평문 저장 금지, 키 관리 전용 HSM 도입, 자격증명 vault 정책 적용을 보안 표준으로 정착시켜야 한다.

마무리

핵심 요약과 운영 팀이 취해야 할 다음 행동

FortiBleed 사건은 핵심 보안 장비의 자격증명 거버넌스가 무너질 경우 랜섬웨어 침투의 진입점이 된다는 점을 명확히 보여준다. 운영 팀은 자격증명 로테이션, MFA 적용, 탐지 룰 강화, 관리 평면 분할을 72시간 이내에 완료하는 것을 1차 목표로 설정해야 한다.

후속 위협 추적 및 정보 공유 채널 가이드

본 사안과 같은 공급망형 자격증명 위협은 단일 조직의 노력만으로 차단하기 어렵다. ISAC, CERT, 벤더 위협 인텔리전스 포털 등 공식 공유 채널을 통해 IoC를 상시 확인하고, 의심 정황 발견 시 즉시 공동 분석을 요청해야 한다. 위협 인텔리전스의 선제적 소비만이 다음 단계의 대규모 침해를 예방할 수 있다.

핵심 정리

  • FortiBleed 캠페인은 INC 및 Lynx 랜섬웨어 운영과 연계된 자격증명 탈취 사례로 분류된다.
  • 유출 서버의 평문 자격증명 저장은 데이터 거버넌스 및 보안 통제 미비를 동시에 드러낸다.
  • 관리 평면 자격증명 단일 유출은 네트워크 전반의 보안 통제 무력화로 직결될 수 있다.
  • 운영 팀은 자격증명 로테이션, MFA, 탐지 룰 강화, 관리 평면 분할을 즉시 시행해야 한다.
  • 공급망형 위협에 대응하기 위해 제로트러스트와 자격증명 거버넌스 재설계가 필요하다.

#FortiBleed #Fortinet #INCRansomware #LynxRansomware #credentialtheft #firewallcredentialleak #supplychainattack #ransomwareintrusion #vulnerabilitymanagement #zerotrust #networksecurity #incidentresponse #threatintel #firewallsecurity

참고 자료

  1. Bleeping Computer – FortiBleed credential-theft campaign linked to Lynx ransomware, https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/
  2. The Hacker News – 관련 랜섬웨어 및 자격증명 유출 사례, https://thehackernews.com/

댓글 남기기