핵심 요약:
- 사이버 범죄자들이 FortiBleed 캠페인을 통해 194개국 73,000개 이상의 Fortinet 방화벽 URL을 장악했습니다.
- 공격자들은 제로데이 익스플로잇이 아닌 크리덴셜 재사용 및 패스워드 스프레이 기법을 사용해 장비를 침해했습니다.
- 피해 기업에는 Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture 및 Comcast가 포함됩니다.
뒤로
FortiBleed, 전 세계 73,000개 Fortinet 방화벽 장악… 대규모 크리덴셜 도용 작전
194개국 73,000개 이상의 Fortinet 방화벽 및 VPN 게이트웨이 URL을 장악한 대규모 크리덴셜 수확 캠페인이 전 세계 최대 기업들에 지속적인 접근 권한을 제공하고 있습니다.
사이버 보안 기업 SOCRadar와 Hudson Rock의 보고서에 따르면, 사이버 범죄자들은 Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture 및 Comcast를 포함한 기업들이 사용하는 수만 대의 Fortinet 장비를 체계적으로 침해했습니다. FortiBleed로 명명된 이 캠페인은 제로데이 익스플로잇이 아닌, 노출된 Fortinet 관리 및 VPN 인터페이스를 대상으로 한 크리덴셜 재사용 및 패스워드 스프레이 기법에 의존합니다.
"공격자들은 인터넷에서 Fortinet 장비를 스캔하고, 각 장비에 대해 선별된 알려진 비밀번호 목록을 시도한 후, 모든 성공적인 로그인을 기록합니다."라고 SOCRadar는 6월 16일 발간된 보고서에서 밝혔습니다. "장비가 침해되면 이를 도청 기지로 활용하여 통과하는 트래픽을 모니터링하고 흘러가는 추가 크리덴셜을 수집합니다."
SOCRadar는 정부, 통신, 의료, 교육, 금융 서비스 및 주요 인프라 분야에 걸쳐 21,108개의 고유 IP 주소와 8,316개의 고유 도메인을 포괄하는 30,791대 이상의 침해된 장비를 식별했습니다. Hudson Rock의 분석은 보안 연구원 Volodymyr Diachenko가 처음 발견한 데이터 세트를 기반으로 이 수치를 73,932개의 고유 Fortinet URL로 더 높게 추정했습니다. 공격자들은 320,000개 이상의 FortiGate 대상을 대상으로 약 11억 6,000만 건의 크리덴셜 기반 공격을 실행하는 동시에 160,000개의 MSSQL 서버를 대상으로 21억 건의 무차별 대입 공격을 동시에 감행했습니다.
이 작전의 기술적 정교함은 단순한 크리덴셜 스터핑을 넘어섭니다. Hudson Rock에 따르면, 일단 장비 내부로 침투한 공격자들은 SSL VPN 인증 해시를 가로채 Hashtopolis를 통해 관리되는 전용 45-GPU 클러스터를 사용해 오프라인으로 크랙합니다. 침해된 장비는 이후 도청 기지 역할을 하여 통과하는 트래픽에서 추가 크리덴셜을 수집함으로써 무단 접근의 자기 강화적 순환 고리를 만듭니다. 인도와 미국은 확인된 전체 크리덴셜 침해의 거의 3분의 1을 차지했으며, 통신 분야가 5,600개 이상의 장비로 가장 큰 피해를 입었고, 정부 기관은 111개 도메인에 걸쳐 591개의 침해된 시스템을 나타냈습니다.
자생적 공격 머신
공격자들은 운영 서버 하나를 노출된 상태로 방치하여 연구원들이 인프라와 피해자 데이터베이스를 파악할 수 있도록 했습니다. SOCRadar는 기술적 증거가 러시아어를 사용하는 위협 행위자를 가리키며, 피해자 선정이 "NATO 회원국 내 조직에 크게 편중되어 있었다"고 밝혔습니다. 회수된 데이터 중에는 방위 산업 VPN 엔드포인트로 보이는 곳의 크리덴셜도 포함되어 있어, 동기가 순전한 재정적 이득을 넘어섰을 가능성을 시사합니다.
이 캠페인의 가장 두드러진 특징은 무엇이 빠졌는가입니다: 악용된 Fortinet 취약점이 없다는 점입니다. "제로데이도, 익스플로잇도, 실제 '블리드'도 없습니다."라고 Secure.com의 엔지니어링 책임자 Waseem Ahmed는 말했습니다. "이름과 달리, 이는 취약점이 아니라 이전 Fortinet 침해 사고에서 유출된 크리덴셜 더미를 한 번도 변경하지 않은 조직들에 다시 발사한 것에 불과합니다."
별도로, 보안 기업 Defused는 최근 패치된 세 가지 Fortinet FortiSandbox 취약점(CVE-2026-39808, CVE-2026-39813 및 CVE-2026-25089)이 6월 허니팟에서 나타나기 시작한 공격에서 활발히 악용되고 있음을 관찰했습니다. 처음 두 개는 치명적 등급으로 평가되어 4월에 패치되었으며, 세 번째는 Fortinet의 6월 패치 화요일 업데이트에서 해결되었습니다. Defused는 CVE-2026-25089에 대한 익스플로잇이 AI를 사용해 제작된 것으로 보이며, 처음 관찰되었을 때는 처음에 작동하지 않았다고 밝혔습니다.
투자자 시사점
Fortinet 주식은 FortiBleed 캠페인의 규모가 회사의 제품 보안 태세와 고객 신뢰에 대한 의문을 제기함에 따라 역풍에 직면해 있습니다. SOCRadar에 따르면 연간 매출 10억 달러 이상을 창출하는 기업 조직이 영향을 받은 장비의 20% 이상을 차지했으며, 이는 정확히 Fortinet의 고마운 정기 수익을 이끄는 고객 기반입니다. 이 회사의 방화벽과 VPN 게이트웨이는 전 세계적으로 가장 널리 배포된 네트워크 보안 어플라이언스 중 하나로, 지속적인 공격 대상이 되고 있습니다. Hudson Rock은 조직이 자신의 도메인이 침해된 데이터 세트에 나타나는지 확인할 수 있는 인증 포털을 시작했으며, SOCRadar는 영향을 받은 기업들에게 "네트워크 경계가 이미 침해되었다고 간주하고 즉시 조치를 취하라"고 촉구했습니다.
본 문서는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
