미국 IT 전문매체 테크크런치는 17일(현지시간) 사이버보안 업체 허드슨록(Hudson Rock)과 소크레이더(SOCRadar)의 분석을 인용해, 현재 진행 중인 대규모 해킹 캠페인인 ‘포티블리드(FortiBleed)’로 인해 전 세계 포티넷 장비가 광범위하게 침해됐다고 보도했다.
포티넷은 2000년 설립된 미국의 대표적인 사이버보안 기업이다. 기업과 통신사, 정부기관에 방화벽, 침입방지시스템(IPS), VPN 등 네트워크 보안 솔루션을 제공하며, 대표 제품인 ‘포티게이트(FortiGate)’는 글로벌 방화벽 시장에서 높은 점유율을 차지하고 있다.
포티넷 장비. 사진=테크크런치
해커들은 먼저 인터넷에 노출된 포티넷 방화벽과 VPN 장비를 자동화 도구로 탐색한 뒤, 과거 데이터 유출 사고 등을 통해 확보한 비밀번호 목록을 이용해 장비에 침입한 것으로 조사됐다.
이후 장비를 네트워크 감청 거점으로 활용해 추가 계정 정보를 수집하고, 이를 다시 공격에 활용하는 방식으로 피해를 확산시킨 것으로 알려졌다.
소크레이더는 보고서에서 “장비 하나가 침해되면 공격자는 이를 감청 거점으로 활용해 네트워크 트래픽을 모니터링하고 추가 자격증명을 수집한다”며 “새롭게 확보한 계정 정보는 다시 다른 장비 공격에 활용되는 자기증식형 구조”라고 설명했다.
포티넷 측도 이번 공격 사실을 인지하고 있다고 밝혔다.
티파니 커시 포티넷 대변인은 테크크런치에 “포티넷 방화벽과 VPN 게이트웨리를 대상으로 한 자격증명 수집 공격 캠페인을 인지하고 있다”며 “현재 확인된 데이터는 과거 유출 정보의 재활용 또는 무차별 대입 공격(brute-force)을 통해 확보된 계정 정보로 보이며, 최근 공개된 신규 취약점과는 관련이 없다”고 설명했다.
피해 규모는 조사기관마다 다소 차이를 보였다.
허드슨록은 7만3000개 이상의 포티넷 URL에서 침해 정황을 확인했다고 밝혔고, 소크레이더는 3만 대 이상의 장비가 실제 해킹된 것으로 추산했다.
피해 기업 명단에는 액센추어, 컴캐스트, 폭스콘, 레노버, 오라클, 삼성, 지멘스, PwC(프라이스워터하우스쿠퍼스) 등이 포함됐다. 다만 해당 기업들이 실제 피해를 입었는지 여부와 피해 규모는 아직 공식 확인되지 않았다.
지역별로는 인도, 미국, 대만, 멕시코의 피해가 가장 큰 것으로 나타났으며, 산업별로는 IT 서비스, 통신, 건설자재 분야가 집중 타격을 받은 것으로 조사됐다. 정부기관 역시 피해 대상에 포함된 것으로 알려졌다.
허드슨록과 소크레이더는 이번 공격 배후가 러시아어권 해커 조직일 가능성이 높다고 분석했다.
보안업계는 이번 사건이 최신 보안 기술보다 기본적인 계정 관리가 얼마나 중요한지를 보여주는 사례라고 평가한다. 최근 수년간 포티넷 장비를 노린 공격은 주로 소프트웨어 취약점을 악용하는 방식이었지만, 이번에는 이미 유출된 비밀번호와 취약한 인증 관리만으로도 대규모 침해가 가능했다는 점에서 경각심을 높이고 있다.
