- 3만 대 이상의 Fortinet 네트워크 장비가 credential harvesting 공격으로 피해를 입었으며, 공격자는 작동 가능한 것으로 보이는 자격 증명 목록을 확보한 상태로 확인됨
- 피해 범위는 약 200개국, 다수 산업군에 걸쳐 있으며 보도 시점 기준 공격은 여전히 진행 중(active targeting)임
- 탈취된 credential은 랜섬웨어 침투, 측면 이동(lateral movement), 계정 탈취(account takeover)의 초기 침투 수단으로 악용될 위험이 있음
단일 벤더의 글로벌 credential 유출 사건은 국내 Fortinet 운영 기업의 관리 인터페이스 외부 노출 여부와 패치 지연 여부를 즉시 점검해야 할 신호로 해석된다.
2026년 6월 17일 Dark Reading은 Fortinet 장비 3만 대 이상이 credential harvesting 공격으로 피해를 입은 사실을 보도했다. 공격자는 단순한 취약점 스캔 단계를 넘어 작동 가능한 자격 증명 목록을 이미 확보한 것으로 알려졌으며, 영향 범위는 약 200개국에 이른다. 본稿는 이 사건의 공격 메커니즘과 한국 기업이 즉시 점검해야 할 포인트를 정리한다.
1. 공격 캠페인 개요: 3만 대 Fortinet 장비 credential 유출 사건
1.1 발견 경위 및 피해 규모
보도에 따르면 피해 장비 수는 3만 대 이상으로 집계되었으며, 영향 국가는 약 200개국에 달한다. 공격자는 다수 산업군을 동시에 표적으로 삼고 있으며, 이 사건은 인터넷에 노출된 Fortinet 장비 관리 인터페이스를 대상으로 한 대규모 credential 수집 작전으로 분류된다.
1.2 Dark Reading 보도 기준 시점 및 신뢰 출처
보도 시점은 2026년 6월 17일 14시 6분(UTC)이며, 주요(primary) 1차 출처는 Dark Reading이다. The Hacker News가 동일 시점에 공개한 2026년 공격 표면 Top 10 보고서도 네트워크 장비 credential 유출을 주요 항목으로 다루고 있어, 위협 정황은 복수의 보안 매체에서 교차 확인된다.
액션 아이템: 자사 Fortinet 장비의 모델과 펌웨어 버전을 24시간 이내에 재집계하고, 인터넷 노출 여부를 표로 작성한다.
2. 공격 메커니즘과 표적 산업군 분석
2.1 Credential harvesting 공격 흐름
Credential harvesting은 일반적으로 다음 세 단계로 진행된다. 1) FortiGate VPN, SSL VPN, 관리 웹 인터페이스 등 외부 노출 엔드포인트 스캐닝, 2) 알려진 취약점 또는 약한 인증 정책을 악용한 자격 증명 탈취, 3) 탈취 자격 증명을 즉시 사용 가능한 상태로 가공하여 목록화. 공격자는 1·2단계를 자동화하고 3단계에서 인증 성공 여부를 검증했을 가능성이 있다.
2.2 다수 산업군 동시 표적의 의미
공격 대상이 특정 산업군에 한정되지 않고 다양한 분야에 걸쳐 있다는 점은, 공격의 1차 목적이 표적 산업 데이터 자체가 아니라 credential이라는 재사용 가능한 자산임을 시사한다. 한 번 확보된 자격 증명은 랜섬웨어 침투, 측면 이동, 데이터 유출 등 다양한 후속 공격의 출발점으로 활용될 수 있어 표적 산업에 속하지 않은 조직도 2차 피해의 잠재적 대상이 된다.
액션 아이템: 자사 산업군과 무관하게 Fortinet 운영 여부 자체를 점검 대상에 포함하고, 협력사·지사·원격 사업장의 장비까지 점검 범위를 확장한다.
3. 한국 기업에 미치는 영향과 점검 포인트
3.1 국내 Fortinet 장비 운영 현황 점검 필요성
국내 공개된 피해 수치는 본문 작성 시점 기준으로 확인되지 않았다. 다만 Fortinet은 국내 중견·중소기업, 공공기관, 데이터센터 운영 사업자에서 VPN과 방화벽으로 광범위하게 사용되고 있으므로, 한국 조직도 잠재적 노출군에 포함될 가능성이 있다. 한국인터넷진흥원(KISA) 및 보안관제 협력 채널을 통해 신규 loC(침해 흔적)가 공개되는지 수시로 확인이 권고된다.
3.2 VPN/방화벽 관리 인터페이스의 외부 노출 여부 확인
Credential harvesting의 성공률은 관리 인터페이스가 인터넷에 직접 노출되어 있는 비중에 비례한다. SSL VPN 포트(기본 10443), 관리 웹 포트(기본 443/80), SSH(22) 등이 불필요하게 외부에 공개되어 있는지 점검해야 한다. 또한 비표준 포트로 노출된 경우도 위협 인텔리전스 기반 스캐너는 동일하게 탐지하므로, 포트 변경만으로 안전하다고 단정하기는 어렵다.
액션 아이템: 인터넷 노출 포트 목록을 즉시 작성하고, 관리 인터페이스 접근을 허용 IP 대역으로 제한하는 화이트리스트 정책 적용 여부를 검토한다.
4. 2차 위협 시나리오: 탈취 credential의 활용 가능성
4.1 랜섬웨어 침투 및 측면 이동 공격의 초기 침투 수단화
탈취된 관리자 자격 증명은 곧바로 랜섬웨어 초기 침투 경로로 활용될 가능성이 높다. VPN 게이트웨이를 통한 우회 접속은 정상 트래픽과 구분이 어려워 탐지 지연이 발생하며, 내부 침투 이후 측면 이동(lateral movement)을 통해 도메인 컨트롤러, 백업 서버, 하이퍼바이저로 확산될 위험이 있다. 즉, 본 사건은 단일 데이터 유출이 아니라 장기화된 침투 캠페인의 전조로 해석될 필요가 있다.
4.2 Account takeover 및 데이터 유출 연계 위험
동일한 자격 증명이 다른 내부 시스템에서 재사용될 경우, 단일 credential 유출이 광범위한 계정 탈취(account takeover)로 이어진다. 클라우드 콘솔, SaaS, 내부 업무 시스템까지 연계 침투가 발생할 수 있으며, 이는 데이터 유출과 규제 위반 리스크를 동시에 수반한다.
액션 아이템: 동일·유사 비밀번호의 내부 시스템 재사용 여부를 감사하고, 비밀번호 관리자 도입과 MFA 적용 확대를 동시에 추진한다.
5. 즉각 대응 권고 사항
5.1 관리자 계정 비밀번호 강제 로테이션 및 MFA 적용
모든 Fortinet 관리자 및 로컬 계정의 비밀번호를 즉시 재설정하고, 다중 요소 인증(MFA)을 관리 인터페이스 로그인에 필수화해야 한다. 단시간 내 다수 계정의 비밀번호를 변경해야 하므로, 사전 정의된 변경 절차와 장애 대응 매뉴얼을 준비한 상태에서 일괄 적용이 권고된다.
5.2 공식 보안 패치 신속 적용 및 loC 점검
Fortinet 공식 PSIRT 권고에 따라 최신 펌웨어를 적용하고, 공개된 침해 흔적(loC) 항목을 SIEM·EDR·방화벽 로그에서 후행 검색( retroactive hunt) 한다. 비정상 로그인 시각, 평소와 다른 사용자 에이전트, 알려지지 않은 IP에서의 인증 시도 등이 주요 탐지 키워드로 활용된다.
5.3 취약한 인터페이스의 인터넷 노출 차단
불필요한 관리 인터페이스는 즉시 인바운드 차단하고, 필요한 경우에도 전용 회선 또는 점프 호스트 기반의 통제된 경로로만 접근을 허용한다. VPN 인증 로그의 보존 기간을 최소 90일 이상으로 확대하여 사후 추적 가능성을 확보하는 것도 함께 권고된다.
액션 아이템: 관리 인터페이스 인터넷 노출 차단, MFA 적용, 공식 패치 적용, loC 후행 검색, 비밀번호 재사용 점검을 5대 핵심 과제로 즉시 착수한다.
핵심 요약 체크리스트
- 자사 Fortinet 장비의 모델·펌웨어·인터넷 노출 여부를 24시간 이내 표로 정리
- 관리 인터페이스에 다중 요소 인증(MFA) 즉시 적용 및 관리자 비밀번호 전량 재설정
- Fortinet PSIRT 최신 보안 권고 기준으로 펌웨어 패치 적용 및 공개 loC 후행 검색
- 동일·유사 비밀번호의 내부 시스템 재사용 여부 감사 및 비밀번호 관리자 도입
- 불필요한 관리 인터페이스의 인바운드 차단 및 VPN 인증 로그 보존 기간 90일 이상 확보
참고 자료: