[뉴스에프엔 김맹근 기자] 글로벌 네트워크 보안 기업 포티넷(Fortinet)이 FortiGate 방화벽 장비 사용자들에게 심각한 경고를 보냈다. 위협 행위자들이 이미 패치된 취약점을 악용해 SSL-VPN 경로에 심볼릭 링크를 심고, 시스템에 대한 읽기 전용 접근을 은밀히 유지하고 있다는 것이다. 단순 침해를 넘어, 패치 이후에도 장기간 장비에 머무를 수 있는 새로운 침투 방식이 확인됐다.

외신 등을 종합하면 포티넷은 지난 11일 공식 권고문을 통해 이 같은 사실을 공개했다. 보고서에 따르면 공격자들은 과거 알려졌던 CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 등 복수의 취약점을 활용했으며, 해당 취약점들은 이미 패치가 완료된 상태였다. 그러나 공격자들은 SSL-VPN 언어 파일 경로에 사용자 파일 시스템과 루트 파일 시스템을 연결하는 심볼릭 링크를 생성해, 탐지를 피해 읽기 전용 접근 권한을 유지할 수 있었던 것으로 나타났다.

포티넷은 “이러한 심볼릭 링크는 사용자 파일 시스템에 숨어 있어 탐지에 어려움이 있었고, 패치 이후에도 삭제되지 않은 채 남아 있었다”며 “결과적으로 공격자는 장비 구성 등 민감한 정보에 지속적으로 접근할 수 있었다”고 설명했다. 다만 SSL-VPN 기능을 한 번도 활성화하지 않은 고객은 이번 이슈의 영향을 받지 않는다고 밝혔다.

이번 공격의 배후는 아직 밝혀지지 않았지만, 특정 지역이나 산업을 노린 표적 공격은 아닌 것으로 분석됐다. 포티넷은 해당 이슈로 영향을 받은 고객에게는 개별적으로 안내를 완료했으며, 후속 보완 조치를 시행 중이라고 덧붙였다.

실제 FortiOS 운영체제의 여러 버전에는 이미 심볼릭 링크 제거 및 UI 수정 등의 패치가 적용된 상태다.

FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16 버전에서는 악성 링크 제거 및 UI 수정

FortiOS 7.4, 7.2, 7.0, 6.4 버전에서는 백신 엔진을 통해 자동 제거 기능 적용

포티넷은 사용자들에게 최신 보안 업데이트 적용을 강력히 권고하고 있으며, 장비 구성 내용을 재검토하고 모든 구성이 잠재적으로 침해되었을 가능성을 염두에 두고 복구 절차를 진행할 것을 요청했다.

미국 사이버 보안 및 인프라 보안국(CISA)도 이번 이슈에 대응해 자체 권고를 발표하고, SSL-VPN 기능을 비활성화하고 노출된 자격 증명을 재설정할 것을 촉구했다. 프랑스 사이버 대응기관 CERT-FR 역시 유사한 침해가 2023년 초부터 있었던 정황을 포착했다고 밝혔다.

벤자민 해리스 watchTowr CEO는 해커 뉴스(The Hacker News)와의 인터뷰에서 “조직의 패치 속도보다 훨씬 빠르게 공격이 이뤄지고 있다는 점이 우려된다”며, “공격자들은 패치와 공장 초기화조차 뚫을 수 있는 생존형 악성코드를 설계하고 있다”고 경고했다. 그는 “이미 많은 중요 인프라 조직에서 백도어 설치가 확인됐다”고 덧붙였다.

이번 사태는 단순한 보안 패치를 넘어, 침투 이후의 지속성 대응과 포괄적 보안 점검의 중요성을 다시금 상기시키고 있다.

0 0