포티브리드 사태, 방화벽 43만대 뚫려 랜섬웨어로 번졌다

포티브리드 캠페인의 타임라인과 피해 규모(43만대 방화벽, 1억1000만 건 자격증명, 랜섬웨어 12건 배포)를 정리한 인포그래픽

방화벽 43만대 분량의 로그인 정보가 새어 나갔고, 그중 일부가 실제 랜섬웨어 공격으로 이어졌다. 보안업체 SOCRadar는 지난 1일 포티넷(Fortinet) 방화벽을 노린 대규모 자격증명 탈취 캠페인 ‘포티브리드(FortiBleed)’가 INC 랜섬·링스(Lynx) 랜섬웨어 조직과 직접 연결돼 있다는 조사 결과를 공개했다. 방화벽에 흘러들어온 로그인 정보를 몰래 가로챈 뒤, 그 정보가 실제로 회사 서버를 암호화하는 데 쓰였다는 뜻이다.

포티브리드, 지금까지 벌어진 일 순서대로

  • 2월경: 조사팀 추정으로 캠페인이 이 시점부터 조용히 시작됐다.
  • 6월 중순: 인터넷에 노출된 서버 한 대에서 포티넷 기기 7만3000여 대분의 로그인 정보와 설정 파일이 발견되며 ‘포티브리드’라는 이름이 붙었다.
  • 뒤이어: 공격자가 방화벽에 심어둔 자체 제작 스니퍼 도구 ‘FortiGate Sniffer’가 확인됐다. 방화벽을 오가는 트래픽에서 VPN 로그인 정보를 그대로 가로채는 방식이었다.
  • 7월 1일: SOCRadar가 후속 조사에서 이 캠페인이 INC 랜섬·링스 랜섬웨어 조직의 협상 패널 계정과 겹친다는 사실을 확인, 규모도 43만대·1억1000만 건 자격증명으로 대폭 확대됐다고 발표했다.

포티브리드, 숫자로 보는 피해 규모

구분 내용
대상 규모 전 세계 150개국, 포티게이트 방화벽 43만대 이상
탈취된 자격증명 1억1000만 건 이상
스니퍼 도구 설치 약 1만9000대 (통보 후 약 1만1000대로 감소)
관리자 권한 탈취 스캔 대상 포털 약 1만1250개 중 409개에서 관리자 접근 확인
전체 공격 성공 VPN 침해→도메인 컨트롤러 접근→도메인 관리자 권한까지 354개 대상에서 완료
랜섬웨어 배포 12건, 다수 조직에서 수백 대 단위 엔드포인트 암호화
연결된 조직 INC 랜섬, 링스(Lynx, INC의 리브랜드로 추정)
추정 공격 배후 러시아 기반 초기 침투 브로커(Initial Access Broker)

특히 눈에 띄는 대목은 공격자 쪽의 실수다. 포티브리드 인프라를 관리하던 중 운영 보안 실수를 저질러, SOCRadar가 내부 서버에 접근해 관리자 계정명 ‘adminin’ 같은 백도어 흔적을 확인했다. 조직 운영 문서를 통해 약 20명 규모 팀 구성이라는 점도 드러났다.

공격자들이 넥스트클라우드(Nextcloud)의 미공개 제로데이 취약점을 초기 침투 이후 접근 확장에 활용한 정황도 있다. 다만 이 부분은 아직 기술적 세부 사항이 공개되지 않았다.

포티게이트 방화벽 쓰는 조직이라면 지금 확인할 것

  • 방화벽 로컬 계정과 VPN 로그인 정보를 전부 재설정한다. 트래픽 자체가 가로채졌을 가능성이 있으므로 비밀번호 변경만으로는 부족할 수 있다.
  • 관리자 계정 목록에서 ‘adminin’처럼 낯선 계정이 만들어지지 않았는지 점검한다.
  • 방화벽 펌웨어를 최신 버전으로 올리고, 알려진 취약점 패치 이력을 다시 확인한다.
  • VPN 접속에 다단계 인증(MFA)을 강제 적용한다.
  • 방화벽 로그와 도메인 컨트롤러 로그에서 비정상적인 관리자 접근이나 권한 상승 시도가 없었는지 확인한다.
  • 랜섬웨어 상황에 대비해 오프라인 백업이 최신 상태인지 점검한다.

포티브리드가 보여주는 것

이번 사건이 눈길을 끄는 이유는 단순한 정보 유출로 끝나지 않았다는 점이다. SOCRadar는 “포티브리드는 랜섬웨어 생태계 바깥에 있는 독립된 자격증명 탈취 작전이 아니라, 그 생태계에 직접 연료를 공급하고 있다”고 짚었다.

방화벽에서 훔친 로그인 정보 하나가 몇 달 뒤 실제 랜섬웨어 협상 테이블로 이어질 수 있다는 사실은, 자격증명 유출을 “일단 지켜보자”는 식으로 넘기면 안 되는 이유를 잘 보여준다.

방화벽이나 VPN 장비는 회사 안팎을 잇는 관문이라 한 번 뚫리면 파급 범위가 넓다. 이번처럼 유출과 랜섬웨어 배포 사이에 시차가 있는 경우, 유출 시점에 별다른 피해가 없었다고 안심한 조직도 몇 달 뒤 암호화 피해를 당할 수 있다는 뜻이다.

포티게이트 같은 널리 쓰이는 장비일수록 이런 시차형 공격이 반복될 가능성이 크다. 자격증명 유출 소식이 나오면 재설정을 미루지 않는 습관이 필요한 이유이며, 다음에 어떤 장비가 다음 타깃이 될지도 계속 지켜볼 대목이다.

출처

댓글 남기기