볼렉시티가 수개월 전에 취약점 보고했음에도, 포티넷 늑장 대응…제로데이 취약점 주의
중국 해커 그룹 ‘브레이즌밤부(BrazenBamboo)’가 포티넷(Fortinet)의 포티클라이언트(FortiClient) 윈도우 VPN 클라이언트에서 발견된 제로데이 취약점을 악용해 기업 네트워크 계정을 탈취하는 공격을 벌이고 있는 것으로 나타났다. 이들은 사용자 인증 후 메모리에 남아 있는 자격 증명을 추출할 수 있는 맞춤형 도구인 ‘딥데이터(DeepData)’를 활용해 공격을 수행했다.
■패치되지 않은 제로데이 취약점
사이버보안 기업 볼렉시티(Volexity)는 지난 2024년 7월 이 취약점을 발견해 포티넷에 보고했다고 밝혔다. 그러나 포티넷이 이를 인정한 후에도 현재까지 패치가 배포되지 않았으며 CVE(공통 취약점 및 노출) 번호조차 할당되지 않았다.
이 취약점은 포티클라이언트가 메모리 내에서 민감한 정보를 처리하는 방식과 관련이 있다. VPN 사용자 인증 후, 사용자 이름, 비밀번호, VPN 서버 세부정보, 포트 정보가 메모리의 JSON 객체에 그대로 남아 있는 상태를 악용해 공격자들이 이를 추출하고 암호를 해독할 수 있다.
이번 취약점은 포티클라이언트 최신 버전(7.4.0)에 영향을 미치며 2016년에 발생했던 비슷한 취약점과는 다르다고 볼렉시티는 분석했다. 당시에는 하드코딩된 메모리 오프셋을 통해 자격 증명이 노출되었으나, 이번 취약점은 최근 소프트웨어 변화와 관련이 있는 것으로 보인다.
■브레이즌밤부의 맞춤형 공격 도구
브레이즌밤부는 중국 정부의 지원을 받는 것으로 알려진 해커 그룹으로, 윈도우, 맥OS, iOS, 안드로이드 등 다양한 플랫폼을 대상으로 정교한 악성코드를 활용해 공격을 감행하고 있다.
특히, 이번 공격에서는 딥데이터와 같은 모듈형 도구가 사용됐다. 딥데이터는 다양한 플러그인을 통해 자격 증명 탈취 및 네트워크 침투를 실행하며, 딥포스트(DeepPost)라는 다른 악성코드와 연동해 데이터를 공격자의 서버로 유출한다.
딥데이터의 포티클라이언트 플러그인은 VPN 자격 증명 탈취에 특화되어 있다. 이를 통해 포티클라이언트 메모리에서 데이터를 분석하고 이를 암호 해독한 후, 데이터를 외부로 유출하는 방식이다. 이러한 공격 방식은 브레이즌밤부가 초기 네트워크 접근 권한을 확보하고 이후 기업 네트워크 전반으로 확장하며 정보 수집 및 스파이 활동을 수행할 수 있게 한다.
■기업 보안에 미치는 영향
VPN 계정을 손에 넣은 공격자들은 기업 환경에 침투해 방화벽과 같은 방어 체계를 우회하고 민감한 시스템에 접근할 수 있다. 이는 원격 근무 환경이 확산된 현대 기업에서 VPN 시스템의 취약점을 신속히 해결해야 할 필요성을 강조한다.
전문가들은 포티넷이 패치를 배포하기 전까지 다음과 같은 조치를 취할 것을 권장했다:
-VPN 접근 제한: 필수 인력으로 VPN 접속을 제한하고 다중 인증(MFA)을 적용해야 한다.
-로그인 활동 모니터링: 비정상적인 접속 시도나 실패 로그인을 철저히 추적해야 한다.
-메모리 보안 강화: 메모리를 대상으로 한 악성 행위를 탐지할 수 있는 엔드포인트 모니터링 도구를 사용해야 한다.
-네트워크 분리: 네트워크 권한을 제한하여 VPN 연결 장치로부터의 이동 경로를 차단해야 한다.
전문가들은 제로데이 취약점에 대한 빠른 대응이 보안 벤더에게 필수적이라고 강조했다. 볼렉시티가 수개월 전에 취약점을 보고했음에도 불구하고, 포티넷의 늑장 대응은 사용자들을 여전히 위협에 노출시키고 있다.
기업은 보안 취약점 해결을 위해 벤더들에게 적극적으로 압박을 가하는 동시에 위협 탐지 시스템을 통해 딥데이터와 같은 악성코드의 활동을 사전에 감지해야 한다.
장기적으로는 단일 VPN 솔루션에 의존하지 말고 제로 트러스트 네트워크 접근(ZTNA) 모델을 도입해 엄격한 신원 확인과 제한된 애플리케이션 접근을 통해 위험을 줄이는 것이 안전하다고 전문가들은 말한다.
포티클라이언트 제로데이 취약점을 악용한 브레이즌밤부의 공격은 국가 지원 해커들의 고도화된 기술을 보여준다. 포티넷의 패치가 나올 때까지 기업은 다층적인 보안 접근법을 통해 위험을 최소화하고, 보안 업데이트를 신속하게 적용해야 한다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
