최근 포티OS에서 코드 실행 취약점이 발견됐고 패치됐다. 그 전에도 몇 달 동안 포티넷에서는 꾸준히 비슷한 소식이 있었다. 포티넷 장비들에 대한 공격 위험성이 높아지고 있으며, 포티넷도 최대한 투명하게 대응하는 중이다.

[보안뉴스 문가용 기자] 3월 초 보안 업체 포티넷(Fortinet)의 고객이 회사로 전화를 걸었다. 포티게이트(FortiGate) 보안 장비들이 작동을 하지 않는다는 것이었다. 펌웨어가 무결성 검사를 진행한 이후부터 나타난 현상이었다고 한다. 장비들을 아무리 다시 켜봐야 오류 메시지만 화면에 나타날 뿐이었다.

[보안뉴스 / 3.16.] 사이버 공격자들 사이에서 요 근래 가장 인기 높은 건 포티넷 장비들

[이미지 = utoimage]

조사해 보니 사이버 공격 때문에 발생한 일이었다. 포티넷 장비들에는 그 동안 몰랐던 취약점이 하나 있었는데, 공격자들이 그것을 파고들었던 것이다. 이 취약점은 CVE-2022-41328로, 위험도 자체는 중간 정도에 불과하지만 익스플로잇 난이도가 쉬운 것으로 분석됐다. 공격자들은 이 취약점을 통해 권한을 획득하고 파일을 임의대로 읽고 쓸 수 있었다. 이 취약점을 제일 먼저 알아낸 공격자들은 정부 기관이나, 정부와 관련이 깊은 조직들만 골라서 공격하는 것처럼 보였다.

이 사건의 교훈은 제로데이를 잘 찾아내자는 게 아니다. 요즘 공격자들이 부쩍 포티넷 장비들에 대한 관심이 깊어졌다는 것이다. 이제 겨우 3월 중순인데 이번 해에만 포티넷 제품에서 60개의 취약점이 발굴돼 CVE 번호를 받았다. 포티넷에서 가장 많은 취약점이 나온 2021년에도 이렇지 않았다. 그 때에 비해 지금 두 배 많은 취약점들이 발견되고 있다.

게다가 초고위험도로 분류되는 것이 한두 개가 아니다. 이번 달 초에도 포티넷은 포티OS(FortiOS)와 포티프록시(FortiProxy)에서 초고위험도 취약점인 CVE-2023-25610을 발견해 패치했다고 발표했다. 이 취약점을 익스플로잇 하는 데 성공할 경우 원격에서 임의의 코드를 실행할 수 있었다. 11월에도 러시아 다크웹에서 포티OS 기반 장비들에 접근하는 방법들이 판매되고 있었다.

보안 훈련 전문 업체 사이브러리(Cybrary)의 수석 위협 분석가 데이비드 메이너(David Maynor)는 “사이버 공격자들은 상어 같은 무리들”이라고 말한다. “피 냄새가 나면 몰려들죠. 지난 2~3년 동안 원격 코드 실행 취약점들이 기록적으로 많이 발견됐습니다. 공격자들이 그런 취약점들을 집중적으로 탐색했기 때문입니다. 거기서 피 냄새가 진동을 했나봐요. 그러다가 포티넷에 대한 관심이 쏠리게 된 것이죠. 현재 어느 정도나면 APT 그룹치고 포티넷 장비를 익스플로잇 하지 않는 그룹은 일을 하지 않는 거나 다름이 없습니다.”

포티넷 장비들은 다른 회사들의 네트워크 보안 장비들과 마찬가지로 공공 인터넷과 내부 네트워크의 사이에 자리 잡고 앉아 있다. 가장 중요하고, 가장 치명적인 지점들을 지키고 있는 것이다. 그러므로 요즘이 아니더라도 공격자들의 집중적인 관심을 받을 수밖에 없다. 회사의 내부로 들어가려면 어떻게든 이 장비들을 극복해야만 하는 게 그들의 입장이다. 그렇다면 왜 요즘 포티넷 장비들에 부쩍 관심이 높아졌을까?

보안 업체 그레이노이즈(GreyNoise)는 “포티넷에서 제작하는 제품들은 거의 대부분 ‘에지 장비들’이고, 따라서 기업 네트워크 입장에서는 최전선에 위치하고 있다”고 설명한다. “인터넷과 직접 연결되어 있다는 것이고, 그러므로 공격자들의 1차 관문이라는 겁니다. 포티넷의 장비들이 널리 사용되고 있으니 공격자들이 많이 몰리는 것이고, 공격자들이 많이 몰리니 최근 취약점들이 자꾸 발굴되는 겁니다. 이는 곧 포티넷만 위험한 건 아니라는 뜻이 됩니다. 모든 에지 장비들이 같은 관심을 받고 있습니다. 다만 지금은 포티넷의 차례인 것일 뿐입니다.”

포티넷 장비들을 겨냥한 공격
맨 처음 언급한 사건에서 포티넷은 취약점과 관련된 보안 권고문과 함께 공격의 세부 내용도 같이 공개했다. “공격자들은 취약점을 통해 장비의 펌웨어를 조작했고, 그런 후에 새로운 펌웨어 파일을 임의로 추가했습니다. 포티매니저(FortiManager)라는 소프트웨어를 통해 포티게이트(FortiGate) 장비에 접근할 수 있었고, 장비의 스타트업 스크립트를 조작해 공격을 지속시킬 수도 있었습니다.”

공격자들이 사용한 악성 펌웨어 파일에는 다음과 같은 기능들이 포함되어 있었다고 포티넷은 설명을 추가하기도 했다.
1) 데이터 유출
2) 파일 읽기와 쓰기
3) 원격 셸에 대한 권한 취득
어떤 장비를 침해했느냐에 따라 공격자들이 실행할 수 있는 기능이 조금씩 달라진다는 것으로도 분석됐다.

하지만 공격자들이 애초에 포티매니저 소프트웨어에 어떻게 접근하여 어떤 식으로 권한을 상승시켰는지는 공개되지 않았다. 공격이 발생한 일자나 시기 역시 제대로 밝혀지지 않았다. 이에 대해 포티넷 측은 “위험을 완화시킬 수 있을 만한 방안을 상세히 설명한 권고문을 3월 7일에 발표했다”고 답했다. “그리고 3월 9일 포티넷은 자사 블로그를 통해 추가 세부 사항과 분석 결과를 제공하기도 했습니다. 지금도 계속해서 고객들에게 위험 완화 방법을 제시해주고 있습니다.”

그레이노이즈는 “포티넷이 지금 올바른 대처를 하고 있다”고 말한다. “공격자들이 특정 브랜드의 서비스나 장비에 관심을 갖는 건 누구도 예측할 수 없고, 누구도 대비할 수 없습니다. 갑작스러운 일이죠. 그럴 때 대부분의 기업들은 숨기고 싶을 겁니다. 하지만 포티넷은 사이버 공격자들의 공격 행위를 공개하고 세부적으로 설명하고 있죠. 그러면서 방어 방법도 알려주고 있고요. 네트워크 장비를 만드는 회사가 실행해야 할 것들을 다 하고 있다고 봅니다.”

3줄 요약
1. 사이버 공격자들 사이에서 요 근래 포티넷 장비들에 대한 관심이 높아지고 있음.
2. 인터넷과 직접 연결되어 있으면서 기업 네트워크의 첫 번째 관문이라서 그런 듯.
3. 지금은 포티넷이지만, 다음은 어느 네트워크 장비 업체가 표적이 될 지 모르는 일.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>