포티넷 VPN 보안 경고: 패치 이후에도 침투하는 신종 지속 기법 주의보

최근 포티넷(Fortinet)의 VPN 장비에서 발견된 신종 사이버 공격 기법이 보안 업계의 주목을 받고 있습니다. 일반적인 보안 패치 이후에도 여전히 시스템 접근 권한을 유지할 수 있는 이 공격 방식은 관리자 및 보안 담당자들에게 경각심을 일깨우고 있습니다.

.

포티넷 VPN, 패치 이후에도 뚫렸다?

미국 사이버안보 및 인프라 보안국(CISA)은 해커들이 포티넷 VPN의 알려진 취약점을 이용해 시스템 내부에 침투한 뒤, 패치 이후에도 시스템에 접근할 수 있는 지속적 접근 기법을 사용했다고 경고했습니다.

공격자들은 SSL-VPN 기능을 악용하여, 시스템 내부에 "심볼릭 링크(symbolic link)"를 생성합니다. 이 링크는 민감한 설정 파일이나 디렉터리로의 우회 접근을 가능하게 만들어, 장비가 재부팅되거나 업데이트된 이후에도 시스템에 지속적으로 접근할 수 있게 됩니다.

 

공격 방식: 알려진 취약점 + 심볼릭 링크 조합

공격은 포티OS 내의 CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 등의 취약점을 활용해 시작됩니다. 해커는 이를 통해 SSL-VPN 기능 내에 심볼릭 링크를 심어 사용자의 파일 시스템과 루트 파일 시스템에 접근합니다.

이 방식은 일반적인 보안 패치만으로는 제거되지 않으며, 공격자가 남긴 심볼릭 링크를 통해 계속해서 내부 시스템으로의 창구가 열려 있는 상태가 됩니다.

 

포티넷의 대응과 전문가 권고

이에 포티넷은 **포티OS 최신 버전(7.6.2, 7.4.7, 7.2.11 등)**을 배포하며 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치했습니다. 또한 SSL-VPN 인터페이스의 동작 방식을 변경하여 유사한 공격 방식이 더 이상 통하지 않도록 개선했습니다.

하지만 보안 전문가들은 단순한 업데이트만으로는 부족하다고 지적합니다. 장비 설정 전체를 꼼꼼하게 점검하고, 관리자 및 사용자 계정의 자격 증명을 모두 재설정할 것을 권장하고 있습니다.

추가적으로, SSL-VPN 기능을 일시적으로 비활성화하거나, 장비에 포렌식 분석을 진행하여 공격 흔적이나 백도어 존재 여부를 확인하는 것이 필요하다고 강조합니다.

 

보안 전문가 권장 대응 요약

1.  포티OS 최신 버전으로 즉시 업데이트
2. 관리자/사용자 계정 포함 모든 자격 증명 재설정
3. 설정 파일 및 시스템 전체 이상 징후 점검
4.  SSL-VPN 기능은 일시적으로 비활성화 고려
5.  포렌식 분석을 통해 침해 흔적 여부 정밀 조사

참조 용어 요약

• 포티넷(Fortinet): 방화벽, VPN 장비 등 보안 솔루션을 제공하는 글로벌 기업
• SSL-VPN: SSL 암호화 방식을 사용하는 가상 사설망으로 원격지에서도 안전하게 접속 가능
• 심볼릭 링크 (Symbolic Link): 파일 시스템에서 특정 파일 또는 디렉토리를 가리키는 “바로가기” 역할
• CVE: Common Vulnerabilities and Exposures의 약자로, 공개된 보안 취약점에 부여되는 고유 번호
• CISA: 미국 사이버안보 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)
• 포렌식 분석: 디지털 장비에서 침해 흔적을 찾아내는 정밀 분석 기법