포티넷 측, 이를 취약점으로 간주하지 않는다는 입장…패치 제공 계획 없어 위험
포티넷(Fortinet) VPN 서버에서 브루트포스 공격 중 성공적인 로그인 시도가 로그에 기록되지 않는 설계 결함이 발견됐다. 이 결함은 공격자가 유효한 자격 증명을 확인하면서도 이를 보안 관리자에게 감출 수 있는 심각한 보안 문제를 야기할 수 있다.
■인증 및 로그 기록 방식의 결함
펜테라(Pentera)의 보안 연구진은 포티넷 VPN의 로그인 과정에서 발생하는 문제를 밝혀냈다. 포티넷 VPN은 인증(Authentication) 단계와 권한 부여(Authorization) 단계로 로그인 과정을 나눈다.
일반적으로 로그인 시도가 실패하면 인증 단계에서 로그가 기록되지만, 성공적인 로그인은 권한 부여 단계까지 완료된 경우에만 기록된다. 연구진은 인증 단계 이후 프로세스를 중단함으로써 성공적인 로그인 인증이 로그에 남지 않도록 할 수 있음을 확인했다.
펜테라 연구진은 Burp Suite(버프 스위트)와 같은 보안 테스트 도구를 사용해 VPN 클라이언트와 서버 간의 통신을 분석했다. 이를 통해 공격자는 유효한 자격 증명을 확인했을 때 서버에서 반환하는 특정 값을 이용해 성공 여부를 판별할 수 있었다. 인증 단계에서 프로세스를 중단하면 성공적인 로그인 시도가 로그에 기록되지 않고 실패한 시도만 남아 관리자에게 혼란을 줄 수 있다.
이 결함은 브루트포스 공격이 탐지되더라도 관리자들이 공격자가 자격 증명을 성공적으로 확보했는지 확인할 수 없게 만든다. 유효한 자격 증명이 확보되면, 공격자는 이를 추후 사용하거나 다른 위협 행위자들에게 판매할 수 있다.
포티넷 VPN은 권한 부여 단계에서 디바이스의 보안 상태와 사용자 접근 권한을 검증하는 추가 API 호출을 수행하기 때문에 공격이 복잡해질 수 있지만, 자원이 풍부한 공격자에게는 여전히 실행 가능한 방법으로 평가된다.
펜테라는 포티넷에 해당 문제를 알렸지만, 포티넷은 이를 취약점으로 간주하지 않는다는 입장을 보였다. 문제 해결 계획은 아직 확인되지 않았다. 이에 따라 펜테라는 이 결함을 악용하는 방법을 공개하며 관리자들에게 보안 모니터링 방식을 강화할 것을 권고했다.
보안 전문가들은 관리자가 비정상적인 인증 시도를 탐지할 수 있도록 추가적인 모니터링 도구를 도입하고, 보안 정책과 로그 기록 체계를 재검토해야 한다고 조언했다. 특히 모든 인증 시도를 기록하고 이를 실시간으로 분석하는 것이 중요하다고 강조했다.
이번 발견은 로그 기록의 완전성이 얼마나 중요한지를 보여준다. 포티넷 VPN을 사용하는 조직은 이러한 설계 결함을 악용한 공격 가능성에 대비해 보안 체계를 강화할 필요가 있다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[기자수첩] 중소기업 기술 유출 피해 가볍게 보지 말아야](https://img.newspim.com/news/2024/11/20/2411201506036250.jpg)
