"삼성 등 사용 미국 포티넷 보안장비 해킹당했다"
우리나라 삼성을 포함해 세계 주요 기업들이 사용하는 미국 대형 보안기업 포티넷(Fortinet)의 방화벽과 VPN 장비 수만 대가 해킹당한 것으로 나타났다. IT 전문매체 테크크런치 등 외신은 19일(현지시간) 미국 사이버보안기업 허드슨록과 소크레이더(SOCRadar) 분석을 인용, 이 같이 보도했다. 허드슨록에 따르면 피해를 입은 기업에는 액센추어, 컴캐스트, 폭스콘, 레노버, 오라클, 삼성, 지멘스, 프라이스워터하우스쿠퍼스 등이 포함됐다. 허드슨록은 7만3000개가 넘는 고유한 포티넷 URL이 침해된 정황을 확인했다고 밝혔으며, 소크레이더는 실제 해킹된 장비 수가 3만 대를 넘는다고 추정했다. 이번 해킹 사고는 '포티블리드(FortiBleed)'라 명명됐다. 또 다른 외신은 미국 사이버보안·인프라보안국(CISA)국도 이 같은 사실을 인지, 포티넷의 '포티게이트(FortiGate)' 방화벽 장비를 사용하는 고객들에게 수천 대의 인터넷 연결 장비를 겨냥한 대규모 악성 활동에 대응하기 위한 보안 조치를 즉시 시행할 것을 권고했다고 전했다. 19일 현재 8만6천644대의 장비가 침해된 것으로 집계됐다고 덧붙였다. 탈취당한 정보는 사용자 이름과 이메일 주소, 평문(암호화되지 않은 상태)의 비밀번호 등이다. 소크레이더에 따르면, 탈취된 계정 가운데 35%는 일반 관리자 계정이었고, 28.3%는 포티넷이 기본으로 제공하는 시스템 계정이었다. 나머지 36.7%는 각 기관이나 기업이 자체적으로 생성한 계정이었다. 이는 많은 조직이 기본 계정 이름을 변경하지 않거나 초기 비밀번호를 교체하지 않은 채 사용해 왔음을 보여준다. 또 조직이 직접 만든 계정마저 과거 유출 사고 등을 통해 비밀번호가 노출됐고, 이후에도 변경되지 않은 경우가 많았다는 점을 시사한다고 소크레이더는 분석했다. 주목할 점은, 이번 대규모 공격은, 새로운 취약점을 악용한 것이 아니라 '기본'을 지키지 않아 일어났다. 즉, 침해당한 기업들이 방화벽 비밀번호를 변경하지 않거나, 인터넷에 노출된 중요 시스템의 계정 정보를 제대로 관리하지 않아 일어났다. '포티블리드(FortiBleed)'로 명명된 이번 공격은 현재도 진행 중이라고 해킹을 처음 알린 두 회사는 밝혔다. 해커들(공격자들)은 먼저 자동화 도구를 이용해 인터넷에 노출된 포티넷 방화벽과 VPN 장비를 탐색한 뒤, 과거 유출된 비밀번호 목록을 이용해 장비에 침투했다. 침입에 성공한 후에는 피해 기업에서 더 민감한 데이터를 탈취하는 방식으로 공격을 확대하고 있다고 두 회사는 짚었다. SOCRadar는 "공격자들은 장비를 장악한 뒤 이를 일종의 감청 거점으로 활용해 통신 트래픽을 감시하고, 그 과정에서 추가적인 계정 정보를 수집한다"면서 "새롭게 확보한 비밀번호는 다시 자동화된 스캐너에 입력돼 더 많은 장비를 침해하는 데 사용되며, 공격 체계가 스스로 확산되는 구조를 갖고 있다"고 설명했다. 영국 국가사이버보안센터(NCSC)는 이번 포티블리드 공격이 인터넷에 노출된 포티넷 방화벽과 VPN 게이트웨이를 대상으로 무차별 대입 공격(brute-force), 사전 공격(dictionary attack), 크리덴셜 스터핑(credential stuffing) 기법을 사용한 전 세계적 공격 이라고 설명했다. 포티넷 대변인 티파니 커시는 테크크런치에 "포티넷 방화벽과 VPN 게이트웨이를 겨냥한 제3자 계정 정보 공격에 대해 인지하고 있다"고 밝혔다. 포티넷은 자체 분석 결과, 이번에 사용된 데이터는 과거 사건에서 유출된 정보를 다시 공유한 것과 무차별 대입(brute force) 공격에 의한 것이며, 최근 발생한 새로운 보안 사고나 보안 권고와는 관련이 없다고 설명했다. 해킹과 관련해 레노버는 테크크런치 질의서를 받았다고 확인했지만 별도의 입장을 밝히지는 않았다. 나머지 기업들도 논평 요청에 응답하지 않았다고 테크크런치는 밝혔다. 피해 장비가 가장 많이 발견된 국가는 인도, 미국, 대만, 멕시코, 콜롬비아, 태국이다. 하지만 피해는 세계적이라고 두 회사는 진단했다. 산업별로는 IT 서비스, 건축 자재, 통신 분야가 가장 큰 영향을 받았으며, 정부 기관도 피해 대상에 포함된 것으로 파악됐다. 두 보안업체는 이번 공격 배후 세력에 러시아가 있을 것으로 추정했다. 이번 보고서는 포티넷 장비와 관련 기업들의 계정 정보 목록이 발견된 데서 비롯됐다. 지난 주말 보안 연구원 밥 디아첸코(Bob Diachenko, 사진)가 처음 공개했다. 밥 디아첸코는 데이터 유출과 노출된 데이터베이스를 찾아내는데 국제적으로 이름있는 사이버보안 연구자다. 대규모 개인정보 유출 사건을 여러 차례 발견, 언론과 보안업계에서 널리 인용됐다.'시큐리티 디스커버리'는 보안회사에서 일하고 있다. 또 다른 독립 보안 연구원 케빈 보몬트도 지난 수요일 자신의 블로그에서 "데이터를 분석한 결과 해당 정보는 실제 유효한 데이터"라고 확인한 바 있다. 외신은 보안 전문가들을 인용, 포티넷 장비에 의존하는 기업은 즉각적인 우선순위로 관리 접근 권한을 잠그고, 자격 증명을 재설정하며, 노출된 장치가 이미 표적이 될 수 있다고 가정하라고 권고했다. 한편 포티넷은 미국 캘리포니아주 실리콘밸리의 서니베일에 본사가 있는 글로벌 보안기업이다. 2000년 설립됐다. 한국에도 2002년 진출했다. 특히 한국은 포티넷이 미국 이외에 제품을 판 첫번째 나라다. 2024년 매출은 8조7000억(59억 6000만 달러)을 기록했다. 한국 SW시장은 미국 기업 본사의 연간 매출에서 1% 정도를 차지한다. 이로 추정하면 포티넷의 한국 연간 매출은 800억원 안팎으로 추정된다.
