2024-07-22 04:30 (월)
2만개 이상 포티넷 '포티게이트' 中 해커에 해킹당해…포티넷 취약점 관리·대응에 문제 있어
상태바
2만개 이상 포티넷 '포티게이트' 中 해커에 해킹당해…포티넷 취약점 관리·대응에 문제 있어
  • 길민권 기자
  • 승인 2024.06.12 22:16
이 기사를 공유합니다

네덜란드 군사 정보 보안 서비스(MIVD)는 최근 중국 사이버 해킹 조직이 지난 2022년과 2023년 사이에 전 세계적으로 2만개 이상의 포티게이트(FortiGate) 시스템을 침해했다고 밝혔다.

이 공격 캠페인은 CVE-2022-42475 취약점을 활용했으며, 정부 기관, 국제 조직, 방위 산업을 포함한 여러 주요 타겟에 큰 영향을 미친 것으로 분석됐다. 한국의 포티게이트 사용 기관 및 기업도 각별히 주의해야 한다. 

중국 국가 후원의 해커들은 포티게이트 기기의 취약점(CVE-2022-42475)을 악용해 원격 코드 실행을 통해 악성 소프트웨어를 배포했다. 이 취약점은 포티게이트 기기에서 시스템 재부팅과 펌웨어 업그레이드 후에도 지속적인 접근을 가능하게 했다​.

공격자들은 노출된 포티게이트 장치를 대규모로 스캔하고 발견된 취약점을 이용해 초기 네트워크에 침투했다. 침투 후 ‘Coathanger’ 원격 접근 트로이 목마(RAT)를 배포해 시스템 탐색과 사용자 계정 목록 탈취와 같은 정찰 활동을 수행했다​

■ Coathanger 악성코드

Coathanger는 시스템 호출을 가로채서 탐지를 피할 수 있고, 펌웨어 업그레이드 후에도 지속 활동하게 제작된 고도화된 악성코드다. 이러한 지속성은 감염된 시스템에 대한 지속적인 접근과 제어를 가능하게 한다​.

이 침해는 많은 국가의 정부, 국제 조직 및 방위 산업을 포함한 광범위한 대상에 영향을 미쳤다. 특히 네덜란드 국방부의 연구 개발 네트워크가 침해되었으나, 네트워크 분할로 인해 공격자는 다른 시스템으로 확산되지 못했다​고 알려졌다.

네덜란드 사이버 부대는 Coathanger 악성코드를 탐지하기 위한 YARA 룰, CLI 명령어, 파일 체크섬 등 다양한 탐지 방법을 포함한 IOC(침해 지표) 목록을 공개했다​.

이 침해 사건은 방화벽, IPS, IDS 장비와 같은 관리 보안 목적의 인터넷 연결 장치에서 발생할 수 있는 주요 취약점이 얼마나 위험한지 보여준 사례다. 이러한 보안솔루션들은 네트워크 트래픽을 모니터링하고 보호하도록 설계되었지만, 고도화된 공격자에 의해 악용될 경우 장기간의 은밀한 침투를 허용할 수 있다​는 것이다.

포티게이트 사용 조직은 모든 장치에 최신 보안 패치를 적용해야 하고, 고도화된 악성코드를 탐지할 수 있는 위협 탐지 도구를 활용해야 한다. 또 잠재적인 감염 확산을 제한하기 위해 엄격한 네트워크 분할을 유지하는 것이 중요하다. 그리고 감염된 장치를 격리하고 철저한 디지털 포렌식 조사를 포함한 강력한 사고 대응 계획을 수립해야 한다고 전문가들은 강조한다.

■ 포티넷의 취약점 관리 및 대응 미흡 

한편 포티넷은 CVE-2022-42475 취약점이 공개된 후, 이를 해결하기 위해 다수의 보안 업데이트를 배포했다. 2022년 12월, 포티넷은 FortiOS SSL VPN 및 방화벽 제품에 대한 취약점을 수정하는 패치를 발표했다. 이 취약점은 원격 코드 실행을 허용하는 심각한 버퍼 오버플로우 문제로, 원격, 인증되지 않은 공격자가 악의적인 요청을 통해 코드를 실행할 수 있었다​.

포티넷은 취약점이 실제 공격에 사용되고 있음을 인지하고, 신속하게 패치를 제공했다. 또한, 포티넷의 제품 보안 사고 대응팀(PSIRT)은 공격과 관련된 악성코드 샘플과 네트워크 트래픽에 대한 추가 정보를 제공했으며, 침해 지표(Indicators of Compromise, IoCs)를 공유하여 조직들이 공격을 탐지하고 조사할 수 있도록 도왔다​.

하지만 CVE-2022-42475 취약점은 실제 공격에 사용된 후에야 발견되고 패치되었다. 이는 포티넷의 취약점 관리 및 대응 시스템이 미흡했다고 볼 수 있다. 주요 보안 취약점이 악용되기 전에 더 빨리 발견되고 수정될 수 있도록 예방 조치를 강화할 필요가 있다는 지적이 나오고 있다.

또한 포티넷은 일부 고객이 보안 패치를 신속하게 적용하지 않는다는 문제를 인정했다. 포티넷은 패치의 중요성을 강조하고 고객들이 신속하게 업데이트를 적용할 수 있도록 더 강력한 메시지를 전달할 필요가 있었다고 볼 수 있다.

즉 포티넷이 초기 경고를 제공할 때, 취약점의 심각성과 공격 가능성에 대한 충분한 정보를 제공하지 못한 것으로 볼 수 있다는 것이다. 보다 명확하고 강력한 경고 메시지를 보냈어야 한다.

포티넷은 CVE-2022-42475 취약점에 대해 신속히 대응했으나, 취약점 관리와 고객 대응 측면에서 개선할 부분이 있다는 것이 보안전문가들의 지적이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★