위협 인텔리전스/엔터프라이즈 보안

[뉴스에프엔 김익수 기자] 사이버 보안 연구자들이 Fortinet SSL VPN 장치를 겨냥한 무차별 대입 공격이 급증하고 있다고 경고했다. 위협 인텔리전스 기업 GreyNoise에 따르면 2025년 8월 3일 하루 동안 780개 이상의 고유 IP 주소가 연계된 조율된 공격 활동이 확인됐다.

공격은 미국, 캐나다, 러시아, 네덜란드 등에서 발생했으며, 대상 국가는 미국, 홍콩, 브라질, 스페인, 일본 등으로 파악됐다. GreyNoise는 "관찰된 트래픽은 FortiOS 프로필까지 목표로 삼아 Fortinet SSL VPN을 의도적으로 겨냥했음을 보여준다"며 "단순 기회주의적 활동이 아니라 집중적 공격"이라고 밝혔다.

분석에 따르면 공격에는 두 가지 유형이 존재했다. 하나는 장기 실행형 무차별 대입 활동으로, 단일 TCP 서명과 연결되어 상대적으로 안정적으로 진행됐다. 다른 하나는 단기간에 집중적으로 발생하는 트래픽 버스트 형태였다.

흥미롭게도 8월 5일 이후 공격자들은 TCP 및 클라이언트 서명 기반으로 FortiManager를 새 목표로 삼았다. GreyNoise는 "이는 공격자 행동의 변화를 나타내며, 동일한 인프라 또는 도구 세트가 새로운 포티넷 대면 서비스로 전환될 수 있음을 시사한다"고 분석했다.

추가 조사에서 연구진은 Pilot Fiber Inc.가 관리하는 주거용 ISP 블록에서 FortiGate 장치로 나타난 고유 클라이언트 서명을 6월 이전 급증 사례와 연결했다. 이를 통해 초기 공격 도구가 홈 네트워크에서 시험되었거나 주거용 프록시를 활용했을 가능성이 제기된다.

GreyNoise는 "이러한 패턴은 VPN, 방화벽, 원격 액세스 도구 등 엔터프라이즈 엣지 기술에 국한되어 나타난다"며 향후 6주 이내 유사 기술을 겨냥한 새로운 CVE 발표 가능성을 경고했다.

포티넷 측의 공식 입장은 아직 확인되지 않았으며, 추가 답변이 나오는 대로 업데이트될 예정이다.

0 0