[인터넷보호나라 KrCERT 보안공지] 포티넷 제품 계정정보 탈취에 따른 피해 주의

□ 개요

 

  ○ 최근 네트워크 보안 솔루션 제공업체인 포티넷(Fortinet)의 방화벽과 가상사설망(VPN) 장비가 해킹위험 발생

   ※ 언론보도 : 포티넷 방화벽 수만 대 해킹당했다…“새 취약점 아닌 유출 비밀번호 악용”(6.20, 이데일리)

 

  ○ 이에 따라, 장비를 사용하는 기업의 관련 계정 정보가 유출되어, 공격 위협이 증가되고 있음

 

  ○ 해당 장비를 사용하고 있는 기업들에게 피해 예방 및 추가 피해 방지를 위해 보안공지 게시

 

□ 주요 내용

 

  ○ 해커들은 먼저 인터넷에 노출된 포티넷 방화벽과 VPN 장비를 자동화 도구로 탐색한 뒤, 과거 데이터 유출 사고 등을 통해 확보한 비밀번호 목록을 이용해 장비에 침입

 

  ○ 해외 보안업체의 보고서에 따르면 “장비 하나가 침해되면 공격자는 이를 감청 거점으로 활용해 네트워크 트래픽을 모니터링하고 추가 자격증명을 수집한다”며 “새롭게 확보한 계정 정보는 다시 다른 장비 공격에 활용되는 자기증식형 구조”라고 설명

 

□ 대응 방안

 

  ○ 아래 참고사이트 중 ①을 참고하여 확인 후, 비정상 로그인 등 이상증상 발견 시, 즉시 한국인터넷진흥원(KISA)에 침해사고 신고

 

  ○ 포티넷 제품을 사용하고 있는 경우, 관리자 등 모든 계정의 아이디 및 비밀번호 변경 권고

 

□ 참고 사이트

 

  ① 포티넷 장비 해킹 위험 검색사이트 : https://www.hudsonrock.com/fortinet

 

  ② 해외 보안업체 보고서 전문 : https://www.recordedfuture.com/blog/critical-fortibleed-campaign