미국 CISA 및 영국 NCSC 등 주요 국가 보안기관 ‘포티블리드’ 공격 주의보
무차별 대입 공격 및 자격 증명 탈취 등 이용... 포티넷 방화벽 및 VPN 게이트웨이 노려

[보안뉴스 원병철 기자] 미국 사이버보안 및 인프라 보안국(CISA)과 영국 국가사이버보안센터(NCSC)는 18일(목요일, 현지 시각) 포티게이트 어플라이언스를 사용하는 포티넷 고객들에게 악성 활동으로부터 보안을 강화하는 조처를 할 것을 요구했다.


러시아어를 사용하는 공격자들의 소행으로 추정되는 이 대규모 공격은 ‘포티블리드’(FortiBleed)라는 코드명으로 불린다. 2026년 6월 19일 현재, 감염된 기기 수는 8만6644대에 달한다고 글로벌 보안 매체 해커뉴스는 밝혔다.

SOCRadar의 데이터에 따르면, 유출된 계정 정보의 대부분은 일반 관리자 계정(35%)과 포티넷 시스템 계정(28.3%)으로 구성된다. 나머지 유출된 계정 정보 중 36.7%는 조직별 계정이다.

“조직별 계정이 목록의 최상위에 있다는 것은 중요한 의미가 있다. 이는 공격자가 기본 자격 증명만 수집하는 것이 아니라 조직 자체에서 생성한 계정, 특히 이전에 발생한 침해 사고로 비밀번호가 변경되지 않은 계정까지 성공적으로 탈취했음을 의미한다”라고 SOCRadar는 설명했다.

이번 공격으로 통신, 정부 및 교육 부문이 가장 큰 영향을 받았으며, 특히 인도, 미국, 멕시코, 콜롬비아 및 태국에서 가장 큰 피해를 입은 것으로 분석된다.

한편, 공격자는 인터넷에서 포티넷 원격 로그인 엔드포인트를 대량으로 스캔한 다음, 맞춤형 도구를 사용해 식별된 엔드포인트에 알려진 로그인 및 암호 조합을 무차별적으로 전송함으로써 침입을 시도한 것으로 알려졌다.

공격자는 유출된 포티넷 암호 목록을 선별해 인터넷상의 여러 기기를 대상으로 공격을 시도했다. 접근 권한을 확보한 후에는 장치를 통과하는 네트워크 트래픽을 수동적으로 모니터링해 추가 자격 증명을 수집하고, 이를 사용해 더 많은 장치를 침해했다. 해당 자격 증명은 합법적이고 유효하며, 공격자는 각각의 자격 증명을 확인한 후 검증된 로그인 데이터베이스에 추가했다.


영국 국가사이버보안센터(NCSC)는 포티블리드(FortiBleed)가 무차별 대입 공격, 사전 공격, 자격 증명 탈취 등의 방법을 사용해 인터넷에 연결된 포티넷 방화벽 및 VPN 게이트웨이를 표적으로 삼는 전 세계적인 공격 캠페인이라고 설명했다.

이번 공격을 실행하기 위해 공격자들은 기존의 자격 증명 해싱 메커니즘과 FortiGate 구성 파일에 자격 증명이 저장되는 방식을 악용한 것으로 추정된다. 보안전문가들은 포티넷이 FortiOS 7.2.11, 7.4.8 및 7.6.1 버전에서 관리자 자격 증명에 PBKDF2 기반 암호 해싱을 도입해 기존의 SHA-256 기반 저장 방식을 대체했고 설명했다. 하지만 이전 버전에서 업그레이드할 경우, 해당 관리자가 업그레이드 후 성공적으로 로그인할 때까지 기존 관리자 암호는 SHA-256 해시로 저장된다. 즉, 많은 사용자들이 관리자 자격 증명을 여전히 기존의 SHA-256(솔트 해싱 방식 사용)을 이용해 저장할 가능성이 높다는 지적이다.

한편, 포티넷은 “관련 데이터는 이전 사건에서 유출된 데이터의 재사용 및 자격 증명 무차별 대입 공격으로 추정되며, 현재 발생 중인 사건이나 보안 권고와는 관련이 없다”라면서, “사용자들은 보안 자격 증명을 정기적으로 교체하고, 다단계 인증(MFA)을 활성화”하는 등의 기본적인 보안 활동을 할 것을 요구했다.

[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>