포티블리드 공격으로 드러난 인터넷 노출 장비 계정 탈취 위험
정리된 내용
2026년 들어 포티넷 포티게이트 방화벽과 SSL-VPN 장비를 중심으로 대규모 자격증명 탈취 공격이 확인됐다. 이 공격은 포티블리드(FortiBleed)로 불리며, 단순한 취약점 스캔이 아니라 인터넷에 노출된 보안 장비와 NAS, VPN, DB 서버를 동시에 겨냥한 계정 기반 침투 시도로 볼 수 있다.
장비 장악 이후에는 인증 트래픽을 수집하는 도구를 설치해 평문 비밀번호, NTLM 해시, 커버로스 해시 등 내부망 침투에 활용 가능한 정보를 확보한 정황이 제기됐다.
관리자 입장에서 이번 사건은 방화벽 장비 자체보다 계정 재사용, MFA 미적용, 인터넷 노출 관리 부실이 더 큰 위험으로 이어질 수 있다는 점을 보여준다.
| 구분 | 내용 |
|---|---|
| 공격명 | 포티블리드(FortiBleed) |
| 주요 대상 | 포티넷 포티게이트, 시놀로지 NAS, 소포스 방화벽, 시트릭스 SSL-VPN, MS-SQL 서버 |
| 공격 방식 | 크리덴셜 스터핑, 무차별 대입, 장비 장악 후 인증 트래픽 수집 |
| 수집 정보 | 평문 비밀번호, RADIUS 인증 정보, NTLM 해시, 커버로스 해시, DB 인증 토큰 |
| 위험성 | VPN 침투, AD 정찰, 내부망 이동, 랜섬웨어 초기 침투로 이어질 수 있음 |
공격 흐름
포티블리드 공격은 인터넷에 공개된 장비를 대량으로 찾는 단계에서 시작된다. 공격자는 매스캔, 쇼단과 같은 스캔 도구를 활용해 외부에서 접근 가능한 포티게이트, NAS, 방화벽, SSL-VPN, DBMS 서버를 분류한 뒤 로그인 포털과 관리 인터페이스를 대상으로 계정 대입을 시도한 것으로 정리된다.
1. 인터넷 노출 장비 탐색
공격자는 먼저 외부에서 접속 가능한 장비를 찾는다. 포티게이트 SSL-VPN, 관리자 패널, 시놀로지 NAS 로그인 페이지, 소포스 방화벽, 시트릭스 SSL-VPN, MS-SQL 포트처럼 인터넷에 직접 노출된 서비스가 주요 탐색 대상이 된다.
특히 VPN 장비와 방화벽은 내부망 진입 지점이기 때문에 일반 웹서버보다 더 높은 우선순위로 보호해야 한다.
2. 계정 대입과 크리덴셜 스터핑
공격자는 기존에 유출된 계정과 비밀번호 조합을 장비 로그인 페이지에 반복 대입한다. 같은 비밀번호를 여러 시스템에서 재사용하는 조직은 이 단계에서 쉽게 뚫릴 수 있다.
포티블리드 공격에서는 ‘forticheck’으로 알려진 전용 도구가 관리자 패널과 SSL-VPN 포털 인증 시도에 사용된 것으로 알려졌다. 이 단계에서 성공한 계정은 단순한 로그인 성공에 그치지 않고 이후 장비 장악과 내부망 침투의 출발점이 된다.
3. 장비 장악 후 인증 트래픽 수집
공격자는 포티게이트 장비 접근에 성공하면 SSH 권한을 확보하고, 네트워크 진단 기능을 악용하는 스니퍼 도구를 설치한 것으로 분석된다. 이 도구는 인증 과정에서 오가는 트래픽을 수집해 평문 비밀번호나 해시값을 확보하는 데 사용될 수 있다.
여기서 수집된 NTLM 해시와 커버로스 해시는 액티브 디렉터리 환경에서 특히 위험하다. 공격자가 해시를 해독하거나 재사용할 수 있다면, VPN 장비 침투가 곧 내부 AD 계정 탈취와 권한 확대 단계로 이어질 수 있다.
4. 내부망 이동과 가치 높은 대상 선별
공격자는 모든 피해 조직을 같은 방식으로 다루지 않는다. 확보한 계정 권한, 조직 규모, 업종, 내부망 접근 가능성, AD 도메인 정보 등을 기준으로 경제적 가치가 높은 대상을 선별하고 추가 공격 자원을 투입한다.
실무 기준으로 보면 이 단계가 가장 위험하다. 외부 장비 계정 하나가 탈취된 것처럼 보이더라도, 실제 피해는 내부 파일서버 접근, 도메인 계정 탈취, 백업 서버 장악, 랜섬웨어 배포로 확장될 수 있기 때문이다.
왜 포티게이트 장비가 집중 표적이 됐나
포티게이트 같은 방화벽과 SSL-VPN 장비는 외부 사용자와 내부망을 연결하는 관문 역할을 한다. 공격자 입장에서는 일반 서버 하나를 침해하는 것보다 VPN 계정을 확보하는 편이 훨씬 효율적이다.
| 위험 요소 | 설명 | 영향 |
|---|---|---|
| 인터넷 직접 노출 | SSL-VPN 포털과 관리자 페이지가 외부에서 접근 가능 | 대량 스캔과 자동화 공격 대상이 됨 |
| 계정 재사용 | 유출된 비밀번호를 VPN 또는 관리자 계정에 재사용 | 크리덴셜 스터핑 성공 가능성 증가 |
| MFA 미적용 | 비밀번호만 맞으면 로그인이 가능한 구조 | 탈취 계정만으로 원격 접속 가능 |
| 관리 계정 방치 | 퇴사자, 협력사, 임시 관리자 계정이 남아 있음 | 장기간 미탐지 침투 가능 |
| 내부 AD 연동 | VPN 인증이 AD, RADIUS, LDAP와 연결됨 | 인증 정보 탈취 시 내부망 정찰로 확대 |
수집된 자격증명이 위험한 이유
포티블리드에서 가장 중요한 부분은 공격자가 단순히 장비 목록만 확보한 것이 아니라, 실제 인증에 사용할 수 있는 자격증명과 해시값을 대량으로 수집했다는 점이다. 이 정보는 다른 공격자에게 판매되거나 랜섬웨어 조직의 초기 침투 경로로 활용될 수 있다.
RADIUS 인증 정보
RADIUS는 VPN, 무선 네트워크, 장비 인증 등에서 널리 사용된다. RADIUS 인증 정보가 노출되면 외부 접속 장비와 내부 계정 체계가 함께 위험해질 수 있다.
NTLM 해시
NTLM 해시는 윈도우 인증 환경에서 중요하다. 공격자는 해시를 해독하거나 패스더해시(Pass-the-Hash) 방식으로 내부 시스템 접근을 시도할 수 있다.
커버로스 해시
커버로스 해시는 액티브 디렉터리 환경의 티켓 기반 인증과 관련된다. 공격자가 이를 분석하면 도메인 계정 정찰, 서비스 계정 공격, 권한 확대 시도로 이어질 수 있다.
DB 인증 토큰
DB 인증 정보가 노출되면 단순 시스템 침투를 넘어 데이터 유출 위험으로 이어진다. 특히 고객 정보, 결제 정보, 운영 데이터가 포함된 DB라면 사고 영향 범위가 크게 확대된다.
중소기업과 IT 서비스 기업이 더 위험한 이유
이번 공격은 특정 산업 하나만을 겨냥한 것이 아니라 인터넷에 노출된 장비 전반을 대상으로 한 대규모 자동화 공격에 가깝다. 다만 직원 수가 적은 중소기업이나 IT 서비스 기업은 상대적으로 계정 관리와 장비 패치가 늦어질 수 있어 피해 가능성이 높다.
원격 관리 계정, VPN 계정, 장비 관리자 계정이 탈취되면 공급망 공격 형태로 확대될 가능성도 있다.
특히 협력사 계정, 유지보수 계정, 공용 관리자 계정이 남아 있는 환경은 매우 위험하다. 공격자가 이런 계정을 확보하면 정상 관리자의 접속처럼 보일 수 있어 탐지가 늦어진다.
기업이 바로 확인해야 할 점검 항목
포티블리드 같은 공격은 장비 패치만으로 끝나지 않는다. 이미 유출된 계정이 사용됐을 가능성을 전제로, 계정 변경과 로그 점검을 함께 진행해야 한다.
1. 인터넷 노출 상태 확인
외부에서 SSL-VPN 포털 접근 가능 여부 확인
외부에서 관리자 페이지 접근 가능 여부 확인
불필요한 관리 포트 차단
관리자 접속 허용 IP 제한2. 포티게이트 계정 점검
관리자 계정 목록 확인
사용하지 않는 계정 비활성화
공용 계정 제거
협력사·퇴사자 계정 삭제
모든 관리자 계정 비밀번호 변경3. SSL-VPN 계정 점검
최근 로그인 이력 확인
실패 로그인 급증 여부 확인
해외 IP 접속 여부 확인
업무 시간 외 접속 여부 확인
동일 계정의 다중 국가 접속 여부 확인4. MFA 적용
VPN과 관리자 계정에는 MFA를 우선 적용해야 한다. 비밀번호가 유출되더라도 추가 인증이 있으면 자동화 공격의 성공 가능성을 크게 줄일 수 있다.
5. AD와 RADIUS 계정 변경
VPN 인증이 AD, LDAP, RADIUS와 연동되어 있다면 장비 계정만 바꿔서는 부족하다. VPN 사용자 계정, 관리자 계정, 서비스 계정, RADIUS 연동 계정까지 함께 점검해야 한다.
로그에서 확인할 수 있는 이상 징후
포티블리드 대응에서 중요한 것은 이미 성공한 로그인을 찾는 것이다. 실패 로그만 보면 공격 시도는 확인할 수 있지만, 실제 장비 장악 여부는 놓칠 수 있다.
| 로그 유형 | 의심 징후 |
|---|---|
| 관리자 로그인 | 평소 사용하지 않는 IP, 국가, 시간대에서 관리자 로그인 성공 |
| SSL-VPN 로그인 | 짧은 시간 동안 반복 실패 후 특정 계정 로그인 성공 |
| 계정 변경 | 신규 관리자 생성, 권한 변경, 비밀번호 변경 |
| 설정 변경 | SSH 활성화, 진단 기능 사용, 관리 접근 정책 변경 |
| 내부 접속 | VPN 로그인 직후 AD, 파일서버, DB 서버 접근 시도 |
로그인 성공 후 SSH, 관리자 설정 변경, 내부 서버 접근이 이어졌다면 침해 가능성을 높게 봐야 한다.
대응 방향
포티블리드 대응은 장비 보안, 계정 보안, 내부망 보안을 동시에 진행해야 한다. 외부 장비의 비밀번호만 바꾸고 끝내면 이미 수집된 AD 계정이나 해시를 통한 내부 이동 가능성을 놓칠 수 있다.
1. 즉시 조치
모든 FortiGate 관리자 계정 비밀번호 변경
SSL-VPN 사용자 비밀번호 변경
MFA 강제 적용
불필요한 관리자 계정 삭제
외부 관리자 페이지 차단
관리 접속 허용 IP 제한
최신 보안 패치 적용2. 침해 여부 확인
최근 90일 관리자 로그인 이력 검토
SSL-VPN 로그인 성공·실패 이력 분석
신규 관리자 계정 생성 여부 확인
설정 백업 파일 변경 여부 확인
SSH 접속 이력 확인
AD 계정 잠금·실패 로그인 이벤트 확인3. 내부망 확산 점검
도메인 관리자 계정 로그인 이력 확인
RDP·SMB 접근 로그 확인
파일서버 대량 접근 여부 확인
DB 서버 로그인 실패·성공 로그 확인
백업 서버 접근 이력 확인
EDR 탐지 이벤트 확인4. 장기 개선
VPN 계정과 관리자 계정 분리
장비 관리자 계정 개별화
공용 계정 제거
계정 주기 점검 자동화
외부 노출 자산 목록화
로그 중앙 수집과 장기 보관
관리망 분리보안팀이 우선순위를 정하는 방법
모든 장비를 한 번에 점검하기 어렵다면 위험도가 높은 대상부터 처리해야 한다. 우선순위는 외부 노출 여부, 관리자 페이지 접근 가능 여부, MFA 적용 여부, AD 연동 여부, 최근 로그인 이상 징후를 기준으로 정할 수 있다.
| 우선순위 | 대상 | 조치 |
|---|---|---|
| 최상 | 외부에 관리자 페이지가 노출된 장비 | 즉시 차단, 접속 허용 IP 제한, 계정 변경 |
| 상 | MFA 없는 SSL-VPN 장비 | MFA 적용, 로그인 로그 분석, 비밀번호 변경 |
| 상 | AD·RADIUS와 연동된 VPN | 연동 계정 변경, AD 이벤트 분석 |
| 중 | 협력사 유지보수 계정 보유 장비 | 계정 비활성화, 필요 시 재승인 후 재발급 |
| 중 | 패치 수준이 낮은 장비 | 펌웨어 업데이트, 설정 백업, 재부팅 계획 수립 |
정리
포티블리드는 포티게이트 장비만의 문제가 아니라 인터넷에 노출된 보안 장비와 인증 체계 전반의 문제로 봐야 한다. 공격자는 방화벽, NAS, SSL-VPN, DB 서버를 자동으로 찾고, 이미 유출된 계정 정보를 대입해 접근 권한을 확보한 뒤, 내부망 침투에 쓸 수 있는 인증 정보를 다시 수집한다.
이번 공격에서 중요한 교훈은 비밀번호 하나가 장비 접속을 넘어 AD 계정 탈취, 내부망 이동, 랜섬웨어 초기 침투로 이어질 수 있다는 점이다. 따라서 기업은 포티게이트와 SSL-VPN 장비의 계정 변경, MFA 적용, 외부 노출 차단, 로그 분석, AD 계정 점검을 한 번에 수행해야 한다.
계정 탈취형 공격은 패치만으로 끝나지 않으므로, 이미 사용된 계정과 해시가 내부에서 재활용됐는지까지 확인해야 한다.
'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글
| 보이스피싱 탐지 AI 공동모델이 금융권 방어 체계를 바꾼다 (0) | 2026.06.24 |
|---|---|
| AgensSQL이란 무엇이며 도입 시 기대할 수 있는 점 (0) | 2026.06.23 |
| AWS 컨티뉴엄이 바꾸는 보안 자동화의 흐름 (0) | 2026.06.23 |
| 스텔스모어, 제21회 OSINT 전문가 교육 6월 30일 개최 (0) | 2026.06.22 |
| 파고네트웍스, 스텔라사이버 공식 MDR 인증 획득…아시아 보안 운영 협력 확대 (2) | 2026.06.10 |