- 맞춤 스니퍼 기반 자격증명 수집: 공격자는 이미 침해된 FortiGate에 커스텀 패킷 스니퍼를 배포해 평문 인증 비밀과 세션 토큰을 수집한 것으로 분석됨
- 단일 운영자 추정 캠페인: SOCRadar가 다수 피해 장비에서 유사한 스니퍼 코드를 확인해 운영자 단일화로 추적
- 신뢰 경계 붕괴로 피해 확대: 단일 방화벽 침해가 VPN과 내부 트래픽의 인증 평문 노출로 이어져 기업 원격접속 전반의 보안 리스크를 증가시킴
FortiBleed는 네트워크 보안장비 자체가 신뢰 경계의 약점이 될 수 있음을 보여주는 사례로, 제로트러스트 전환과 지속적 모니터링의 필요성을 다시 한번 강조합니다.
2026년 6월 22일, Bleeping Computer는 보안기업 SOCRadar가 공개한 FortiBleed 캠페인 분석 결과를 보도했습니다. 이번 캠페인은 Fortinet FortiGate 방화벽이 이미 침해된 환경을 전제로, 운영자가 직접 제작한 패킷 스니퍼를 배포해 평문 인증 정보를 체계적으로 탈취한 사례로 기록됩니다. 단순한 취약점 익스플로잇을 넘어 침해 사후 단계에서 자격증명을 harvest하는 정교한 후속 활동이 포함된 점이 특징입니다.
해당 보고서는 단일 스니퍼 코드가 다수의 피해 FortiGate에서 재사용된 사실을 근거로, 공격 인프라가 단일 운영자에 의해 관리되는 대규모 캠페인일 가능성을 제시합니다. 따라서 이번 사건은 FortiGate 사용자뿐 아니라 VPN과 원격접속 환경에 의존하는 모든 기업의 보안 정책 재검토를 요구합니다.
FortiBleed 캠페인 개요
FortiBleed는 FortiGate 방화벽을 표적으로 한 다단계 침해 작전의 명칭입니다. 공격자는 기기 침해 이후 별도의 맞춤형 스니퍼를 업로드해 통과하는 트래픽에서 인증 자격증명을 추출하는 구조로 운영됐습니다.
SOCRadar 공개 보고서의 시점과 범위
SOCRadar는 2026년 6월 22일자 Bleeping Computer 기사를 통해 캠페인 세부 내용을 공개했습니다. 보고서에 따르면 동일 스니퍼 바이너리가 지리적으로 분산된 다수의 FortiGate 디바이스에서 발견됐으며, 코드 유사성과 인프라 패턴을 종합해 단일 위협 행위자가 운영하는 작전으로 분류한 것으로 분석됩니다. 보고 시점 기준 정확한 침투 시점은 공개된 자료에 명시되지 않았습니다.
침해 대상 FortiGate의 공통 침투 경로
보고된 사례들에서 FortiGate는 사전에 다른 공격 경로로 이미 침투된 상태였습니다. 침투 경로 자체는 본 캠페인의 핵심 초점이 아니지만, 보고서는 관리 인터페이스 노출, 알려진 취약점의 미패치 상태, 그리고 부적절한 인증 설정이 초기 침투의 단서로 작용했을 가능성을 시사합니다. SOCRadar는 특정 CVE(Common Vulnerabilities and Exposures) 번호를 명시하기보다, 이미 장악된 FortiGate가 스니퍼 배포의 발판으로 악용된 사후 단계의 위협에 초점을 맞췄습니다.
커스텀 스니퍼 동작 방식과 데이터 유출 메커니즘
FortiBleed의 기술적 핵심은 표준 도구가 아닌 공격자 맞춤형 패킷 스니퍼입니다. 이 스니퍼는 정상 트래픽 흐름에 섞여 동작하도록 설계돼, 방화벽 운영자나 기존 보안 모니터링으로는 탐지가 어려웠을 가능성이 높습니다.
평문 인증 비밀 캡처 방식
보고된 스니퍼는 FortiGate가 처리하는 인증 트래픽 중 평문 형태의 자격증명이 포함된 세션을 식별해 저장하는 방식으로 동작한 것으로 분석됩니다. 여기에는 VPN 로그인, 관리자 웹 인터페이스 인증, 그리고 일부 내부 서비스 간 인증 교환이 포함될 수 있습니다. 캡처된 정보는 이후 운영자가 설정한 외부 인프라로 유출된 것으로 분석됩니다.
탈취 자격증명의 2차 활용 시나리오
수집된 평문 인증 정보는 곧바로 다른 시스템 침투에 활용될 수 있습니다. 위협 분석 관점에서 다음과 같은 2차 활용 경로가 전문가들에 의해 제시됩니다.
- 횡적 이동(Lateral Movement): 동일 기업 내부의 다른 VPN 사용자, 내부 서비스, 클라우드 콘솔 접근에 재사용
- 권한 상승: 관리자 계정 자격증명을 통한 FortiGate 설정 변경, 정책 우회, 추가 악성코드 배포
- 장기潜伏(잠복): 세션 토큰과 자격증명을 결합해 정상 사용자로 위장한 장기 잠복 활동
- 랜섬웨어 사전 단계: 초기 접근 권한 확보 후 랜섬웨어 배포, 데이터 유출, 금전 요구로 연결
이러한 2차 활용 가능성은 본 기사에서 전문가 의견으로 분류되며, 실제 발생 여부는 각 기업의 침해 조사 결과에 따라 달라집니다.
기업 VPN 및 내부망에 대한 영향
FortiGate는 일반적으로 기업 VPN 게이트웨이의 최전선에 위치합니다. 따라서 단일 장비의 침해가 원격접속 트래픽의 신뢰성 붕괴로 이어질 수 있다는 점이 FortiBleed의 핵심 위협입니다.
원격근무 환경에서의 세션 토큰 위협
하이브리드 근무가 일반화된 환경에서 VPN 세션 토큰은 사실상 내부 자원에 대한 출입증 역할을 합니다. 스니퍼를 통해 캡처된 세션 토큰은 정상 사용자의 권한 컨텍스트를 재현할 수 있어 비인가 접근에 활용될 위험이 있습니다. 이는 위협 분석상 주요 피해 시나리오로 평가됩니다.
내부 트래픽 가시성 저하에 따른 탐지 한계
FortiGate가 침해된 상태에서는 EDR(Endpoint Detection and Response)이나 SIEM(Security Information and Event Management) 같은 일반적인 탐지 체계가 내부 트래픽의 비정상 패턴을 식별하기 어려울 수 있습니다. 다음 표는 침해 단계별 탐지 가능성을 요약합니다.
| 침해 단계 | 일반 보안관제(SOC) 탐지 난이도 | 주요 관찰 신호 |
|---|---|---|
| 초기 FortiGate 침투 | 중간 | 관리 인터페이스 비정상 로그인, 펌웨어 변조 흔적 |
| 스니퍼 배포 및 실행 | 높음 | 비정상 프로세스, 알 수 없는 바이너리, CPU/메모리 사용 패턴 |
| 평문 자격증명 유출 | 매우 높음 | 외부 IP로의 비정상 아웃바운드, 암호화되지 않은 자격증명 패턴 |
| 2차 시스템 횡적 이동 | 중간~높음 | 내부 계정의 비정상 위치/시간 접속, 평소와 다른 권한 사용 |
위 표는 위협 분석 관점의 일반화된 평가이며, 실제 탐지율은 각 기업의 보안 성숙도와 FortiGate 구성에 따라 달라질 수 있습니다.
대응 권고 및 향후 전망
FortiBleed 캠페인은 FortiGate를 포함한 네트워크 보안장비가 공격 표면이 될 수 있음을 보여줍니다. 보고된 사실을 바탕으로 다음과 같은 즉각적, 중장기적 대응이 권고됩니다.
FortiGate 펌웨어 및 설정 점검 체크리스트
- 최신 안정 펌웨어로의 업데이트 적용 여부 확인
- 관리 인터페이스의 IP 제한 및 VPN ACL 재검토
- 기본 계정 제거, 강력한 패스워드 정책 적용, 다중 인증(MFA) 필수화
- 알 수 없는 프로세스, 비정상 아웃바운드 트래픽 모니터링 로그 강화
- 정기적인 설정 백업과 무결성 검증 절차 수립
네트워크 보안장비 모니터링과 제로트러스트 전환 필요성
FortiBleed와 같은 사후 단계 위협에 효과적으로 대응하기 위해서는 네트워크 보안장비 자체에 대한 지속적 모니터링과 변화 감지가 필수입니다. 동시에 네트워크 위치에 의존하는 전통적 경계 보안 모델에서 벗어나, 사용자, 디바이스, 트래픽의 상시 검증 기반인 제로트러스트(Zero Trust) 아키텍처로의 전환이 점진적으로 요구됩니다. 본 전망은 업계 전문가들의 위협 분석 의견이며, 조직별 도입 속도와 방식은 환경에 따라 다를 수 있습니다.
핵심 요약
- FortiBleed는 침해된 FortiGate에 배포된 맞춤 스니퍼로 평문 인증 정보를 수집한 대규모 캠페인입니다.
- 동일 스니퍼 코드의 재사용을 근거로 단일 운영자가 단일화된 작전일 가능성이 분석됩니다.
- 단일 방화벽 침해가 VPN과 내부 트래픽의 자격증명 노출로 확장될 수 있어 피해 범위가 사용자 계정까지 확대됩니다.
- 기업은 FortiGate 펌웨어 및 설정 점검과 함께, 네트워크 보안장비 자체에 대한 지속적 모니터링 체계를 갖춰야 합니다.
- 네트워크 위치 기반 보안을 보완하기 위해 제로트러스트 아키텍처 전환이 중장기적 대응 방향으로 권고됩니다.