포티게이트 600대 이상 침해 및 AD 장악·자격증명 탈취 정황
관리 포트 노출·취약 자격증명 악용과 MFA 적용 미흡 등 기본 보안 허점

[보안뉴스 김형근 기자] 아마존 위협 인텔리전스는 최근 러시아어를 사용하는 해커가 생성형 AI를 악용해 전 세계 600개 이상의 포티게이트(FortiGate) 장비를 침해했다고 발표했다.


이번 공격은 고도의 기술이 없는 초보 해커가 여러 개의 상업용 AI 도구를 사용해 공격을 계획하고 실제 행동으로 옮긴 심각한 사례다. 해커는 딥시크(DeepSeek)와 앤스로픽 클로드(Anthropic Claude) 같은 AI 모델을 공격 프로세스에 통합해 사용했으며, 새로운 공격이 아닌 인터넷에 노출된 관리 포트와 취약한 자격 증명 등 기초적인 보안 허점을 공략했다.

AI는 도구 제작과 공격 경로 생성, 그리고 복잡한 명령 실행을 도와 초보 해커가 대규모 공격을 감행할 수 있도록 기술적 보조를 제공했다.

해커는 침해된 네트워크 내부에서 액티브 디렉토리(Active Directory)를 장악하고 자격 증명 데이터베이스를 낱낱이 추출하는 중대한 성과를 거뒀다.

특히 랜섬웨어 배포를 앞두고 빔 백업(Veeam Backup) 인프라를 타깃팅해 데이터 복구 가능성을 차단하려 시도했다. 분석된 소스 코드에서는 과도한 주석과 단순한 구조 등 AI가 생성한 코드 특유의 정밀한 흔적들이 다수 발견됐다.

해커는 보안이 강화된 환경은 포기하고 보안이 허술한 ‘소프트 타깃’(Softer Victim)만을 골라 AI로 대량 스캔하는 효율성을 보이기도 했다. 공격에 사용된 서버(212[.]11[.]64[.]250)에는 AI 생성 공격 계획과 맞춤형 도구 등 1400개 이상의 파일이 보관돼 있었다.

이번 사건은 AI가 사이버 범죄의 진입 장벽을 낮춰 누구나 위협 행위자가 될 수 있다는 사실을 시사한다. 기업들은 관리 인터페이스 노출 차단, 다요소 인증(MFA) 필수 적용 등 보안 기본 원칙을 준수해야 한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>