CISA, 포티블리드 유출 후 포트인트 사용자 기기 보안 권고

출처: Bleeping Computer

미국 사이버보안 및 인프라 보안청(CISA)은 약 7만4천 개의 방화벽 및 VPN 자격 증명이 노출된 데이터 유출을 계기로 Fortinet 고객에게 장비를 보호하도록 권고했습니다.
이 경고는 threat actors가 절취된 자격 증명을 이용해 전 세계 정부 및 민간 부문 조직에 인터넷에 접속 가능한 Fortinet 장치를 타깃으로 삼았다는 사실 뒤에 이어집니다.

“CISA는 전 세계에서 악성 사이버 액터들이 정부 및 민간 부문 조직에 대한 인터넷 접속이 가능한 Fortinet 장치를 사용해 절취된 자격 증명을 이용해 타격을 가하고 있다는 글로벌 보고를 인지하고 있다,” 이었다고 말했다. “이 활동, 포티블리드(​FortiBleed)라고 불리는 이 행위는 약 7만4천 개의 Fortinet 장치, 즉 방화벽 및 가상 사설망(VPN) 게이트웨이와 관련된 절취된 자격 증명 노출을 포함합니다.”

https://www.wiz.io/reports/state-of-ai-in-the-cloud-2026?utm_source=bleepingcomputer&utm_medium=display&utm_campaign=FY27Q1_INB_FORM_State-of-AI-Report-2026&sfcid=701Vh00000aV1zBIAS&utm_term=FY27-bleepingcomputer-article-970x250-June&utm_content=State-of-AI-Report-2026

기관은 영향을 받은 FortiGate 장치 소유자들에게 모든 SSL VPN 및 관리 세션을 종료하고, 모든 VPN 및 관리 비밀번호를 재설정하며, 피싱 저항 가능한 MFA를 활성화하고 로그에서 무단 접근 또는 측면 이동의 징후를 검토하라고 권고했습니다.

CISA는 또한 Fortinet 고객에게 관리자 자격 증명을 최신 Password-Based Key Derivation Function 2(PBKDF2) 해시 알고리즘을 사용해 저장하라고 조언했으며, 방화벽 관리 인터페이스를 공개 인터넷에서 차단하고 무단 계정을 제거해 공격 표면을 최소화하라고 권고했습니다.

7만3천 개 이상의 방화벽 자격 증명 노출

포티블리드 데이터 유출은 보안 연구원 볼로디미르 “밥” 디아첸코에 의해 발견되었습니다. 그는 서버를 발견했다는 서버에 Fortinet VPN 자격 증명(사용자 이름, 이메일 주소, 평문 비밀번호)이 포함된 약 73,932개의 전 세계 방화벽 URL이 들어 있었다고 밝혔습니다.

노출된 데이터에는 각 조직의 산업 분야, 매출액, 직원 수가 포함되어 있으며, 디아첸코는 이를 향후 공격을 계획하는 데 활용될 것으로 보인다고 말했습니다.

Threat Intelligence 회사 Hudson Rock는 도ataset 분석을 통해서도 이 자료를 검토했으며, 이는 21,632개의 고유 도메인과 194개 국가를 아우르는 포티넷 자격 증명 절취 컬렉션 중 가장 큰 규모의 것으로 평가했습니다.

데이터에 포함된 조직으로는 삼성, 머스탱-벤츠, 폭스콘, 체버론, 콤캐스트, AT&T, 토요타 등 주요 기업뿐만 아니라 통신, 의료, 금융 서비스, 제조업 등 다양한 분야의 정부 기관 및 핵심 인프라 운영자도 포함되어 있습니다.

가장 많은 영향을 받은 장치들은 인도, 미국, 대만, 멕시코, 터키, 태국, 콜롬비아, 말레이시아, 칠레, 아랍에미리트 등에서 집중되었습니다.

노출된 서버에 발견된 Fortinet 자격 증명 (볼로디미르 디아첸코)

러시아어 사용 위협 집단과 연계된 데이터 유출

디아첸코는 이 운영이 러시아어 사용 위협 집단에 의해 수행되었다고, 약 11억 건의 자격 증명 시도를 통해 32만 개 이상의 FortiGate 타깃을 해킹해 SSL VPN 인증 해시를 가로채었다고 밝혔습니다. 구성 데이터의 출처는 아직 확인되지 않았습니다.

보안 전문가 케빈 베어먼도 일부 자격 증명의 진위가 확인됐으며, 대부분의 영향을 받은 장치가 여전히 온라인 상태임을 확인했습니다.

“자료는 정당한 것입니다. 약 75k개의 장치이며, 거의 모든 장치는 여전히 온라인 상태이고 Fortinet 제품입니다. 이는 최근 자료처럼 보입니다,” 베어먼 씨는 말했다, 추가로 유출된 자료가 Fortinet 설정 파일에서 비롯됐을 것으로 보인다고 언급했습니다.

하지만 데이터 출처는 여전히不明이며, 이 자료가 이미 공개된 포티넷 취약점의 남용, 새로 발견된 보안 결함, 또는 다른 방법으로 획득된 것인지 명확하지 않습니다.

Hudson Rock는 무료 포티블리드 검색 도구를 제공해 조직이 자신이 영향을 받았는지 확인할 수 있도록 했습니다.

월요일에 위협 인텔리전스 회사인 Defused도 포트인트 포티샌드 플랫폼의 여러 치명적 취약점이 현재 공격에 활용되고 있다고 보고했습니다. CISA는 최근 몇 년간 26개의 포티넷 보안 결함이 실전에서의 남용을 추적하고 있으며, 이 중 13건이 랜섬웨어 공격에 악용된 것으로 나타났습니다.

해커보다 먼저 모든 레이어 테스트

보안 팀은 성공적인 공격의 54%를 로그에 남기고, 단지 14%만 알림으로 설정합니다. 나머지는 감지되지 않은 채 환경 내에서 이동합니다.

Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 테스트하여 위협이 탐지되지 않도록 차단하는 방법을 보여줍니다.

화이트페이퍼 받기