Amazon Integrated Security의 CISO인 CJ Moses는 러시아어를 사용하는 해커가 2026년 1월 11일부터 2월 18일까지 55개국에서 600개 이상의 FortiGate 방화벽을 침해한 사실을 경고하였습니다. 이번 공격은 Fortinet 방화벽의 취약점을 직접적으로 이용하지 않고, 인터넷에 노출된 관리 인터페이스와 다중 인증(MFA)이 적용되지 않은 약한 비밀번호를 표적으로 삼았습니다. 해커는 AI를 활용해 네트워크 내 다른 장치로의 접근을 자동화하였으며, 공격은 특정 산업이 아닌 기회주의적으로 이루어졌습니다.
침해된 방화벽에서는 SSL-VPN 사용자 자격 증명, 관리자 계정, 방화벽 정책, 내부 네트워크 구조, IPsec VPN 설정 등 다양한 민감 정보가 유출되었습니다. 해커는 AI 기반 Python 및 Go 도구를 사용해 이 정보를 해독하고, 네트워크 탐지 및 분류, 포트 스캔, SMB 호스트 및 도메인 컨트롤러 식별, HTTP 서비스 탐색 등 자동화된 정찰 활동을 수행하였습니다. 또한, Veeam Backup & Replication 서버를 표적으로 맞춤형 PowerShell 스크립트와 취약점 공격 도구를 사용하였으며, 패치가 적용된 시스템에는 침투하지 못하고 더 취약한 대상을 찾아 이동하였습니다.
Amazon은 이번 사례가 상용 AI 서비스가 해커의 기술적 장벽을 낮추고 공격 능력을 증폭시키는 위험성을 보여준다고 지적하였습니다. 해커는 AI를 통해 공격 방법론 생성, 맞춤형 스크립트 개발, 정찰 프레임워크 구축, 내부 네트워크 확장 전략 수립 등 다양한 작업을 수행하였습니다. 이에 따라 FortiGate 관리자에게는 관리 인터페이스의 인터넷 노출 금지, MFA 활성화, VPN과 Active Directory 계정의 비밀번호 분리, 백업 인프라 강화 등이 권고됩니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.