2026년 6월 17일, 누구도 놀라지 말았어야 하지만 모두를 경악하게 한 자격 증명 데이터셋이 공개되었다. 연구자 Volodymyr "Bob" Diachenko는 수만 대의 Fortinet FortiGate 방화벽에 대한 사용자 이름, 이메일 주소, 그리고 평문 비밀번호를 담은 인터넷 노출 서버를 발견했다. Kevin Beaumont는 그 데이터셋을 입수해 Hudson Rock과 함께 분석했고, 아무도 확인되기를 원하지 않았던 사실을 확인했다: 그 자격 증명은 유효했다. 이 캠페인은 FortiBleed라고 명명되었다.
숫자가 곧 이야기다. 194개국에 걸친 73,932개의 고유 FortiGate URL이 21,632개의 도메인과 연결되어 있으며, 이는 Shodan 조사에 따르면 현재 공용 인터넷에 노출된 전체 Fortinet 방화벽의 대략 절반에 해당한다. 노출된 조직들은 아마추어가 아니다: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, 그리고 정부 기관과 핵심 인프라 운영자들까지 포함된다. 최소 네 개 조직이 일본, 대만, 베트남, 이라크, 터키에서 완전히 침해되었으며, 공격자들은 네트워크 내부에서 기기에서 기기로 이동했다. 최악의 사례는 기밀 문서가 유출된 터키의 NATO 방위 하청업체다. 이 활동은 여러 명의 운영자로 구성된 러시아어 사용 범죄 집단의 소행으로 추정된다.
아이러니는 스스로 쓰여진다. 침입자를 경계선에서 막아내는 것이 유일한 목적인 바로 그 단 하나의 장비, 방화벽이 경계선의 활짝 열린 문이 되었다.
기술적으로 실제 무슨 일이 일어났는가
여기에는 새로운 취약점이 없으며, 그 점이 중요하다. 자격 증명 수집은 CVE-2022-40684, 즉 Fortinet이 2022년 10월에 패치했으나 대부분의 조직이 수정 사항을 적용하기도 전에 대규모로 익스플로잇된 FortiOS 인증 우회 취약점까지 거슬러 올라간다. 그 2022년 사태 동안 긁어모은 자격 증명은 그 이후로 비공개 범죄 포럼에서 줄곧 유통되어 왔다. FortiBleed는 바로 그 재고를 갱신한 것이다: 운영자들은 SSL-VPN 인증을 가로채 비밀번호 해시를 복구한 뒤, Hashtopolis로 오케스트레이션된 45-GPU 클러스터에서 이를 크래킹했다. 그런 다음 그들은 복구한 비밀번호를 살아 있는 장비를 상대로 재생했고, 320,000대의 FortiGate 장비를 상대로 11억 6천만(1.16 billion) 회의 로그인 시도를, 그리고 이와 병행해 160,000대의 Microsoft SQL 서버를 상대로 추가로 21억(2.1 billion) 회를 기록했으며, 유효한 자격 증명을 통해 조직 내 모든 Windows 계정을 관장하는 디렉터리인 Active Directory까지 파고들었다.
Fortinet의 대응은 기술적으로 정확하지만 전략적으로는 핵심을 벗어나 있다. 이 회사는 FortiBleed를 자사 제품의 새로운 결함이 아니라 과거 사건에서 재활용된 데이터에 무차별 대입을 더한 것으로 규정한다. 사실이다. 그러나 장비들은 여전히 온라인 상태이며, 재활용된 비밀번호는 아무도 그것을 바꾸지 않는 한 정확히 그만큼 오랫동안 실제 문을 연다. 대규모 환경에서 모든 VPN 및 관리자 자격 증명을 교체하는 일은 손가락 한 번 튕기듯 되는 것이 아니며, 바로 그것이 공격자들이 그 비밀번호가 여전히 작동하리라고 베팅한 이유다. 그들이 옳았다.
어떤 프레임워크가 이를 규율하며, 그것들은 무엇을 요구하는가
이것은 변두리의 기술적 각주가 아니다. 이는 영향을 받은 조직들이 이미 책임지고 있는 세 가지 규율 체계의 정중앙에 자리한다.
EU 디지털 운영 복원력법(DORA)은 금융 기관을 구속한다. 그 ICT 위험 관리 기둥(제5조부터 제15조)은 원격 진입점에 대한 강력한 인증과 접근 통제 (제9조), 그리고 테스트되고 증거로 입증된 사고 대응 역량(제11조)을 요구한다. DORA는 "우리는 2022년 CVE를 패치했다"를 복원력으로 받아들이지 않는다. 그것은 잔여 노출이 식별되고 정량화되고 거버넌스되었는지를 묻는다. 네트워크 및 정보 보안 지침 2(NIS2)는 에너지, 운송, 제조, 디지털 인프라, 공공 행정을 포함해 훨씬 더 넓은 대상을 아우르며, 그 제21조는 다중 인증, 접근 통제, 자산 관리를 기본 조치로 명시적으로 적시하고, 경영진은 제20조에 따라 개인적으로 책임을 진다. ISO/IEC 27001:2022는 동일한 통제들을 부속서 A의 의무로 규정한다: A.5.17(인증 정보), A.8.5(보안 인증), A.5.15(접근 통제), A.8.9(구성 관리). NATO 방위 하청업체에는 네 번째 계층이 적용된다: 기밀 자료의 유출이 단순한 상업적 침해가 아니라 보고 의무가 있는 주권 수준의 사건이 되는 방위 공급망 보안 의무다.
어떤 통제가 실패했는가
화제가 된 규모를 걷어내면 FortiBleed는 OFF 위치에 남겨진 스위치들의 짧은 목록이다. 원격 접속 다중 인증은 부재하거나 불완전했고, 그것은 탈취된 비밀번호를 무력화하는 유일한 통제이며, 그 존재 여부가 비사건과 침해를 가르는 통제다. 자격 증명 교체는 2022년 침해 이후 한 번도 작동하지 않았기에, 4년 전에 유출된 비밀번호가 2026년 6월에도 여전히 인증되었다. 패치 및 구성 위생은 자격 증명 수집이 성공할 만큼 충분히 오래 원래의 CVE-2022-40684 창 뒤로 뒤처졌다. VPN 경계와 Active Directory 코어 사이의 네트워크 분할은 얇거나 부재했으며, 이는 침해된 단일 장비 하나를 도메인 전역의 횡적 이동으로 바꾸어 놓았다. 그리고 이 모든 것의 기저에서 자산 가시성이 실패했다: 조직들은 자신들의 FortiGate 장비 중 어느 것이 인터넷에 노출되어 있는지, 어떤 펌웨어에서, 어떤 계정과 어떤 인증 태세로 운영되는지에 대한 권위 있고 최신의 시야를 갖고 있지 않았다. 볼 수 없는 노출에 대해서는 자격 증명을 교체할 수도, 분할할 수도, MFA를 강제할 수도 없다.
CCI의 도구들은 무엇을 바꾸었을 것인가
위의 네 가지 통제 중 어느 것도 새로운 제품 범주를 필요로 하지 않았다. 그들은 노출이 지속적으로 보여지고, 가격이 매겨지고, 입증되기를 요구했으며, 그것이 바로 CCI의 도구들이 메우는 틈이다.
EviGen은 공격자들이 묻기도 전에 유일하게 중요한 질문에 답했을 것이다: 모든 SSL-VPN 및 관리자 계정에, 모든 장비에, 바로 지금 MFA가 강제되고 있는가? EviGen은 그 구성 증거를 전체 환경에 걸쳐 자동으로 수집하고, 이를 DORA 제9조, NIS2 제21조, ISO A.8.5의 산출물로서 프레임워크를 인식해 패키징하며, 패닉 속에 재구성하는 것이 아니라 지속적으로 생성한다. MFA 커버리지의 틈은 유출 이후의 포렌식 발견이 아니라, 그것이 벌어진 그 주에 날짜가 찍히고 서명된 발견 사항이 된다.
NetDiagramer는 공격자들이 실제로 걸어간 경로를 그렸을 것이다. 그것은 살아 있는 인벤토리로부터 방화벽 영역과 계층 간 의존성을 매핑하여, 인터넷에 노출된 모든 FortiGate를, 그리고 결정적으로 SSL-VPN 경계에서 Active Directory 코어로 이어지는 경로를 드러낸다. 네 개 조직을 완전히 침해 가능하게 만든 평평한 경계-도메인 인접성이야말로, 자동으로 생성된 DORA 제8조 및 NIS2 제21조 토폴로지가 사후 부검 도식이 아니라 발견 사항으로 노출하는 바로 그것이다.
cVaR은 "오래된 자격 증명, 아마 괜찮을 것"을 이사회 수준의 숫자로 바꾸었을 것이다. 자산 인벤토리 전반에 FAIR와 Monte-Carlo 시뮬레이션을 적용하여, 그것은 "인터넷에 노출된 VPN 자격 증명이 재생되어 AD로 피벗한다"는 시나리오를 유로화로 표시된 손실 초과 곡선으로 가격을 매긴다. 위험 등록부에서 막연한 우려로 읽히는 잔여 노출은 cVaR 대시보드에서 조건부 가치 위험으로 읽히며, 잔여 우려가 미뤄지는 곳에서 잔여 유로는 교체된다.
DORA-MAST는 그것을 뜻밖의 사건이 아니라 테스트된 시나리오로 만들었을 것이다. 그것은 원격 접속 경계에서의 자격 증명 재사용이라는 교란을 모델에 대해 가동하고, 복원력 영향을 계산하며, 전체 경계를 단일 장비 공급업체에 거는 제3자 집중 위험을 포함하여, 그 테스트를 DORA의 제24조부터 제31조까지의 테스트 프로그램에 따라 증거로 입증한다.
노출을 예측하고, 가격을 매기고, 통제를 입증하고, 실패를 리허설하라. 2022년의 상처는 알 수 있었던 것이었다. 유출된 자격 증명은 알 수 있었던 것이었다. MFA의 틈은 알 수 있었던 것이었다. FortiBleed는 Fortinet 코드의 취약점을 익스플로잇한 것이 아니다. 그것은 조직이 보유한 통제와 조직이 켜져 있음을 입증할 수 있는 통제 사이의 거리를 익스플로잇했다. 그 거리를 좁히면 재활용된 비밀번호는 아무 것도 열지 못한다.
당신의 도메인이 이미 목록에 올라 있다면: 신속하게 도움 받기
위의 도구들은 조직이 사건 이전에 구축하는 태세를 기술한다. FortiBleed는 21,632개의 노출된 도메인 중 다수에게 미래의 위험이 아니라 현재의 위험이며, 정직한 질문은 이번 주에 무엇을 할 것인가이다. CCI의 두 가지 별개의 역량이 적용되며, 각각이 무엇을 하는지에 대해 정밀해질 가치가 있다.
첫 번째는 압박 속의 리더십이다. CCI의 서비스형 CISO는 은행, 방위, 통신, 에너지 전반에 걸쳐 의도적으로 겹치지 않는 배경을 가진 8명 이상의 CISSP 인증 실무자 풀에 의존한다. FortiBleed 데이터셋에서 자신의 자격 증명을 방금 발견한 조직에게 관련 있는 모드는 임시 또는 온콜 커버리지다: 내부 팀이 교체를 실행하는 동안 노출을 분류하고, 이사회에 보고하며, 규제 당국의 제11조 (DORA)나 제23조(NIS2) 질문에 답할 수 있는 책임 있는 보안 리더다. 우리는 우리가 이끄는 곳을 감사하지 않으며, 따라서 그 독립성은 설계상 보존된다.
두 번째는 엔지니어링 속도다. EviGen, NetDiagramer, cVaR, DORA-MAST를 만든 사람들은 별개의 공급업체가 아니다. 그들은 학자, 박사급 연구자, 보안 엔지니어로 구성된 사내 연구개발팀이다. 이것이 운영상 중요한 이유는, FortiBleed의 교정이 대규모에서는 도구화의 문제이기 때문이다: 조직의 전체 FortiGate 장비를 공개된 노출 도메인 목록과 대조하고, 수백 대의 장비에 걸쳐 자격 증명 교체를 강제하며, 그런 다음 남은 모든 계정에 다중 인증이 강제되고 있음을 입증하는 일이다. 이것은 바로 그 동일한 엔지니어들이 신속하게 세울 수 있는 종류의 맞춤형 구제 도구다. 그 이유는 인벤토리 수집, 구성 증거 수집, 토폴로지 매핑을 포함한 기저 프리미티브들이 슬라이드웨어가 아니라 이미 출시된 제품으로 존재하기 때문이다. 정직한 표현은 계약상의 스톱워치가 아니라 역량이다: 이 프리미티브들을 제품화한 팀은 이를 표적화된 교정 도구로 조합하는 일을, 그 문제를 처음 마주하는 팀보다 훨씬 더 빠르게 해낼 수 있다. FortiBleed가 당신의 환경에 도달했다면, 범위가 정해진 대응으로 가는 가장 빠른 길은 실무자와 이야기하는 것이다.
한 번도 아물지 않은 상처
말벌은 변하지 않는다. 변하는 것은 군집이다. Fortinet의 고객들이 2022년에 잃은 자격 증명은 결코 스스로 만료되지 않을 것이었다. 비밀번호는 아물지 않기 때문이다. 여전히 노출된 채 남아 있는 절반의 장비에게 변한 것은 없다: 같은 장비, 같은 비밀번호, 도메인까지 이어지는 같은 평평한 경로. 해결책은 화려하지 않으며 전적으로 손이 닿는 범위 안에 있다. MFA를 강제하고, 지금 교체하고, 경계를 코어로부터 분할하며, 그 세 가지가 모두 참이라는 지속적인 증거를 유지하라. 공격자들은 당신이 이 글을 읽고, 고개를 끄덕이고, 다음 분기로 미룰 것이라고 베팅하고 있다. 그들에게는 그 점에 관해 옳았다는 4년간의 실적이 있다.
Acronyms
| 약어 | 영문 풀이 (Expansion) | 한국어 번역 |
|---|---|---|
| AD | Active Directory | Active Directory(액티브 디렉터리) |
| CVE | Common Vulnerabilities and Exposures | 공통 취약점 및 노출 |
| CVSS | Common Vulnerability Scoring System | 공통 취약점 평가 시스템 |
| DORA | Digital Operational Resilience Act | 디지털 운영 복원력법 |
| FAIR | Factor Analysis of Information Risk | 정보 위험 요인 분석 |
| GPU | Graphics Processing Unit | 그래픽 처리 장치 |
| ICT | Information and Communication Technology | 정보 통신 기술 |
| MFA | Multi-Factor Authentication | 다중 인증 |
| NIS2 | Network and Information Security Directive 2 | 네트워크 및 정보 보안 지침 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | 보안 소켓 계층 가상 사설망 |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj