1. 개요
2024~2025년에도 웹 기반 공격은 사이버 침해의 가장 주요한 경로였다. 특히 주목할 점은 공격 대상이 일반 웹 애플리케이션이 아니라 보안 장비/VPN/파일 전송 솔루션과 같은 인프라 관리 시스템이라는 것이다. 이 시스템들은 인터넷에 직접 노출되면서도, 내부 네트워크로의 관문(Gateway) 역할을 하기 때문에 공격자에게 극도로 높은 가치를 가진다.
본 보고서에서 분석하는 3개 사례는 모두 다음 공통점을 가진다:
- 웹 인터페이스를 통해 공격이 시작됨
- 인증 우회 또는 인증 없는 원격 코드 실행(RCE)이 가능
- 제로데이(0-day) 상태에서 실제 공격에 악용됨
- 국가 지원 APT 또는 대규모 랜섬웨어 그룹이 관여
사례 선정 요약
| # | 사례 | CVE | 공격 시작 | 위험도 | 공격 주체 |
|---|---|---|---|---|---|
| 1 | Fortinet FortiManager "FortiJump" | CVE-2024-47575 | 2024.06 | CVSS 9.8 | UNC5820 (미상) |
| 2 | Ivanti Connect Secure VPN | CVE-2025-0282 | 2024.12 | CVSS 9.0 | UNC5337 (중국 연계) |
| 3 | Cleo 파일 전송 솔루션 | CVE-2024-50623 | 2024.12 | CVSS 8.8 | Cl0p 랜섬웨어 |
2. 사례 1: Fortinet FortiManager 제로데이 — "FortiJump" (CVE-2024-47575)
2.1 사고 개요
| 항목 | 내용 |
|---|---|
| 취약점 | CVE-2024-47575 (CVSS 9.8) |
| 별칭 | FortiJump |
| 영향 제품 | Fortinet FortiManager — 방화벽/네트워크 장비 중앙 관리 플랫폼 |
| 취약점 유형 | Missing Authentication for Critical Function (CWE-306) |
| 공격 주체 | UNC5820 (Mandiant 추적, 미상 위협 그룹) |
| 공격 시작 | 2024년 6월 27일 (최초 관찰) |
| 공개일 | 2024년 10월 23일 |
| 피해 규모 | 50개 이상 조직의 FortiManager 침해 |
2.2 근본 원인
FortiManager의 fgfmd 데몬(FortiGate-to-FortiManager 프로토콜 처리)에 인증 메커니즘이 누락되어 있었다. 이 데몬은 FortiGate 방화벽이 FortiManager에 등록하고 설정을 동기화하는 데 사용되는데, 공격자가 인증 없이 임의의 FortiManager에 접속하여 관리 명령을 실행할 수 있었다.
[정상 동작]
FortiGate 방화벽 ──(fgfmd 프로토콜, 인증됨)──→ FortiManager
│
설정 관리, 정책 배포
[공격 시나리오]
공격자 제어 서버 ──(fgfmd 프로토콜, 인증 없음!)──→ FortiManager
│
설정 탈취, 임의 명령 실행핵심: 인터넷에 노출된 관리 프로토콜에 인증이 없었다는 것은, 사실상 관리자 콘솔을 인터넷에 비밀번호 없이 공개한 것과 같다.
2.3 공격 과정
[타임라인]
2024.06.27 ─ UNC5820, 최초 FortiManager 익스플로잇 (제로데이)
│
├── fgfmd 프로토콜로 FortiManager 접속 (인증 불필요)
├── FortiGate 방화벽 설정 데이터 덤프
│ └── IP, 라우팅, VPN 설정, 사용자 정보, FortiOS256 해시 비밀번호
├── /tmp/.tm 경로에 Gzip 압축 아카이브로 스테이징
└── 데이터 외부 반출
2024.09.23 ─ 동일 지표로 2차 익스플로잇 관찰
2024.10.23 ─ Fortinet, CVE-2024-47575 공식 보안 권고 발표
2024.10.30 ─ CISA, 업데이트된 IOC 및 가이드라인 발표2.4 대응 및 조치
Fortinet의 대응:
- 긴급 패치 릴리스 (FortiManager 7.x, 6.x 버전별)
- IOC(Indicators of Compromise) 공개 — 공격자 IP, 파일 경로, 로그 패턴
fgfmd데몬에 인증 메커니즘 추가
CISA의 대응:
- Known Exploited Vulnerabilities(KEV) 카탈로그에 추가
- 연방 기관에 21일 내 패치 의무화
2.5 보완이 미흡했던 부분
| 미흡 영역 | 설명 |
|---|---|
| 4개월 노출 | 6월 최초 공격 → 10월 공개. 4개월간 제로데이 상태로 방치 |
| 설계적 결함 | 핵심 관리 프로토콜에 인증 미구현 — 단순 패치가 아닌 아키텍처 수준의 결함 |
| 피해 탐지 지연 | 50개+ 조직이 침해되었으나, 대부분 Mandiant 통보 전까지 인지하지 못함 |
| 하위 장비 연쇄 피해 | FortiManager가 관리하는 모든 FortiGate 방화벽의 설정/비밀번호가 유출 → 추가 침해 가능 |
3. 사례 2: Ivanti Connect Secure VPN 제로데이 (CVE-2025-0282)
3.1 사고 개요
| 항목 | 내용 |
|---|---|
| 취약점 | CVE-2025-0282 (CVSS 9.0) |
| 영향 제품 | Ivanti Connect Secure — 기업용 SSL VPN 어플라이언스 |
| 취약점 유형 | Unauthenticated Stack-Based Buffer Overflow (CWE-121) |
| 공격 주체 | UNC5337 (중국 연계 APT), 기타 미상 그룹 |
| 공격 시작 | 2024년 12월 중순 |
| 공개일 | 2025년 1월 8일 |
| 피해 규모 | 다수 국가/산업군의 VPN 어플라이언스 침해 |
3.2 근본 원인
Ivanti Connect Secure의 웹 인터페이스에서 스택 기반 버퍼 오버플로우 취약점이 존재했다. 인증 없이 원격에서 조작된 HTTP 요청을 보내면 스택의 리턴 주소를 덮어써 임의 코드 실행(RCE)이 가능했다.
[취약한 코드 흐름 (추정)]
HTTP 요청 수신
↓
특정 파라미터 파싱
↓
고정 크기 스택 버퍼에 입력값 복사 (길이 검증 없음)
↓
버퍼 오버플로우 → 리턴 주소 덮어쓰기
↓
공격자 셸코드 실행 (root 권한)핵심: 2020년대에도 스택 버퍼 오버플로우가 인터넷에 노출된 보안 장비에 존재한다는 것 자체가 충격적이다. 이는 해당 코드가 메모리 안전하지 않은 언어(C/C++)로 작성되었고, ASLR/Stack Canary 등의 보호 기법이 부족했음을 시사한다.
3.3 공격 과정
[공격 킬 체인]
① 정찰
└── 특정 URL 쿼리로 ICS 어플라이언스 버전 식별
(VPS/Tor에서 스캔하여 신원 은닉)
② 초기 침투
└── CVE-2025-0282 버퍼 오버플로우 → 인증 없이 RCE (root)
③ 흔적 제거 (즉시 수행)
├── SELinux 비활성화
├── iptables로 syslog 전송 차단 (로그 유출 방지)
└── 루트 파티션 쓰기 가능으로 리마운트
④ 악성코드 배포
├── SPAWN 계열: SPAWNANT(인스톨러), SPAWNMOLE(터널러), SPAWNSNAIL(SSH 백도어)
├── DRYHOOK: 자격증명 수집
└── PHASEJAM: 웹셸
⑤ 내부 확산
├── nmap, dig으로 내부 네트워크 정찰
├── LDAP 서비스 계정 악용하여 횡이동
└── 세션 쿠키, API 키, 자격증명 데이터베이스 탈취
⑥ 데이터 유출
└── 어플라이언스 DB 캐시를 아카이브하여 스테이징 → 외부 반출3.4 대응 및 조치
Ivanti의 대응:
- 2025년 1월 8일 보안 권고 및 패치 릴리스
- Integrity Checker Tool(ICT) 배포 — 어플라이언스 변조 여부 검증
- 공장 초기화(Factory Reset) 후 패치 적용 권고
Mandiant/Google의 대응:
- 상세 기술 분석 보고서 공개
- 악성코드 패밀리별 IOC 공개 (SPAWN, DRYHOOK, PHASEJAM)
- UNC5337 위협 클러스터 추적
CISA의 대응:
- 긴급 지시(ED 25-01): 연방 기관에 Ivanti 어플라이언스 격리 또는 패치 의무화
3.5 보완이 미흡했던 부분
| 미흡 영역 | 설명 |
|---|---|
| 반복되는 Ivanti 제로데이 | 2024년 1월에도 CVE-2023-46805 + CVE-2024-21887 체인으로 대규모 공격 발생. 1년 만에 또 제로데이 — 제품의 코드 품질 근본 문제 |
| 패치가 불완전 | 초기 패치 후에도 추가 취약점(CVE-2025-0283) 발견. PoC 공개(1월 16일)로 2차 공격 급증 |
| ICT 도구의 한계 | Ivanti의 무결성 검증 도구를 공격자가 우회하는 사례 관찰 — PHASEJAM이 ICT 업그레이드 프로세스 자체를 후킹 |
| 메모리 안전성 | C/C++로 작성된 VPN 스택에서 2025년에도 버퍼 오버플로우 발생 — Rust/Go 등 메모리 안전 언어로의 전환 필요성 |
4. 사례 3: Cleo 파일 전송 소프트웨어 — Cl0p 랜섬웨어 캠페인 (CVE-2024-50623)
4.1 사고 개요
| 항목 | 내용 |
|---|---|
| 취약점 | CVE-2024-50623 (CVSS 8.8), CVE-2024-55956 |
| 영향 제품 | Cleo Harmony, VLTrader, LexiCom — 기업용 관리형 파일 전송(MFT) |
| 취약점 유형 | Unrestricted File Upload/Download → RCE (CWE-434) |
| 공격 주체 | Cl0p (CL0P) 랜섬웨어 그룹 |
| 공격 시작 | 2024년 12월 3일 (최초 관찰) |
| 피해 규모 | 최소 66개 기업, 데이터 유출 + 랜섬 협박 |
4.2 근본 원인
Cleo 파일 전송 소프트웨어의 웹 인터페이스에서 파일 업로드/다운로드에 대한 제한이 없어 공격자가 임의 파일을 서버에 업로드하고 실행할 수 있었다.
[취약한 동작]
정상: 클라이언트 → (인가된 파일 전송) → Cleo 서버 → 비즈니스 파트너
공격: 공격자 → (악성 파일 업로드, 제한 없음!) → Cleo 서버
↓
업로드된 웹셸/백도어 실행
↓
서버 장악, 데이터 탈취핵심: 이것은 웹 보안의 가장 기본적인 취약점 — 무제한 파일 업로드(Unrestricted File Upload) — 이 기업용 파일 전송 솔루션에 존재했다는 것이다. OWASP Top 10에 수년간 포함된 클래식 취약점이 2024년의 상용 제품에서 발견된 것은 심각한 문제다.
4.3 공격 과정
[Cl0p의 공격 타임라인]
2024.10 CVE-2024-50623 공개, Cleo 5.8.0.21에서 패치 주장
↓ (패치가 불완전 — Huntress에 의해 확인)
2024.12.03 공격 시작 (패치 우회하여 익스플로잇)
├── 악성 파일 업로드 → 웹셸 설치
├── 백도어를 통한 명령 실행
└── 내부 데이터 접근
2024.12.08 Huntress, 공격 급증 관찰 (07:00 UTC 기준)
└── 최소 10개 기업 Cleo 서버 침해 확인
2024.12.13 CISA, CVE-2024-50623을 KEV 카탈로그에 추가
2024.12.15 CVE-2024-55956 추가 발견 (2차 취약점)
└── CISA, KEV에 추가 (대응 기한: 2025.01.07)
2024.12.24 Cl0p, 리크 사이트에서 66개 기업 명단 공개
└── "48시간 내 협상하지 않으면 데이터 공개"
2025.01~ 피해 기업 명단 지속 추가, 데이터 리크 진행4.4 Cl0p의 전략적 패턴
Cl0p은 파일 전송 솔루션을 연쇄적으로 공격하는 패턴을 보여왔다:
| 시기 | 대상 | CVE | 피해 |
|---|---|---|---|
| 2023.01 | GoAnywhere MFT | CVE-2023-0669 | 130+ 조직 |
| 2023.05 | MOVEit Transfer | CVE-2023-34362 | 2,500+ 조직 |
| 2024.12 | Cleo Harmony/VLTrader | CVE-2024-50623 | 66+ 조직 |
패턴: Cl0p은 파일 전송 솔루션의 제로데이를 사전에 확보한 후, 대규모로 동시 공격하여 데이터를 탈취하고 랜섬을 요구한다. 이 그룹은 파일 암호화 없이 데이터 탈취만으로 협박하는 전략을 사용한다.
4.5 대응 및 조치
Cleo의 대응:
- 5.8.0.21 패치 릴리스 (불완전 → 추가 패치 릴리스)
- 고객 통보 및 업그레이드 권고
CISA의 대응:
- KEV 카탈로그에 두 CVE 모두 추가
- 연방 기관에 긴급 패치 기한 설정
4.6 보완이 미흡했던 부분
| 미흡 영역 | 설명 |
|---|---|
| 불완전 패치 | Cleo가 "패치 완료"라고 발표한 5.8.0.21이 실제로는 여전히 취약. 패치 검증 프로세스 부재 |
| MFT 솔루션의 구조적 취약성 | 파일 전송 솔루션은 설계상 파일 업로드/다운로드를 허용 — 이 기능 자체가 공격 표면. 업로드 파일에 대한 무결성/실행 방지가 필수적이나 미구현 |
| Cl0p 패턴 미학습 | GoAnywhere, MOVEit에 이어 3번째 MFT 공격. 업계가 Cl0p의 MFT 타겟팅 패턴을 인지했음에도 방어 태세 미비 |
| 탐지 지연 | 12월 3일 최초 공격 → 12월 8일 탐지 → 5일간 무방비 노출 |
5. 3개 사례 비교 분석
5.1 공통점과 차이점
| 비교 항목 | FortiManager | Ivanti VPN | Cleo MFT |
|---|---|---|---|
| 취약점 유형 | 인증 누락 | 버퍼 오버플로우 | 무제한 파일 업로드 |
| OWASP 분류 | A07 (인증 실패) | A03 (인젝션/메모리) | A04 (안전하지 않은 설계) |
| 인증 필요 여부 | 불필요 | 불필요 | 불필요 |
| 공격 복잡도 | 낮음 | 중간 | 낮음 |
| 공격 주체 | 미상 APT | 중국 APT | 랜섬웨어 그룹 |
| 목적 | 정보 수집/스파이 | 정보 수집/스파이 | 금전 갈취 |
| 패치 전 노출 기간 | ~4개월 | ~3주 | ~2개월 (불완전 패치) |
| 피해 규모 | 50+ 조직 | 다수 (미공개) | 66+ 조직 |
| 패치 품질 | 양호 | 불완전 (추가 CVE) | 불완전 (우회 가능) |
5.2 공통 패턴
1. 보안 장비가 공격 대상이다
3개 사례 모두 "보안을 강화하기 위해 도입한 장비"가 오히려 침투의 관문이 되었다. 방화벽 관리 시스템(FortiManager), VPN(Ivanti), 보안 파일 전송(Cleo) — 이것들은 보안 인프라의 핵심 구성 요소이면서 동시에 인터넷에 노출된 가장 큰 공격 표면이다.
2. 인증 없는 RCE
3개 모두 인증 없이 원격에서 코드를 실행하거나 데이터를 탈취할 수 있었다. 로그인도 필요 없다. 인터넷에서 해당 포트에 접근만 가능하면 공격이 성립한다.
3. 불완전 패치
Ivanti와 Cleo 모두 초기 패치가 불완전하여 추가 취약점이 발견되거나 패치를 우회하는 공격이 이어졌다. 이는 벤더의 보안 코드 리뷰 프로세스가 부족함을 의미한다.
4. 탐지의 어려움
FortiManager는 4개월, Cleo는 5일 이상 공격이 탐지되지 않았다. 인터넷에 노출된 어플라이언스의 내부 동작을 모니터링하는 것은 전통적인 네트워크 보안 도구로는 어렵다.
5.3 취약점 발생 근본 원인 분석
┌─────────────────┐
│ 근본 원인 분류 │
└────────┬────────┘
┌────────────────┼────────────────┐
▼ ▼ ▼
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ 설계 결함 │ │ 구현 결함 │ │ 프로세스 결함 │
│ │ │ │ │ │
│ FortiManager │ │ Ivanti │ │ Cleo │
│ (인증 누락) │ │ (버퍼오버플로) │ │ (불완전 패치) │
│ │ │ │ │ │
│ Cleo │ │ │ │ Ivanti │
│ (업로드 제한 │ │ │ │ (반복 제로데이│
│ 미설계) │ │ │ │ 미학습) │
└──────────────┘ └──────────────┘ └──────────────┘6. 종합 교훈 및 권고
6.1 제품 선택 관점
| 교훈 | 구체적 조치 |
|---|---|
| "보안 장비 = 안전"이라는 전제를 버려라 | 보안 장비도 공격 표면이다. 네트워크 노출 최소화 필수 |
| 벤더의 보안 이력을 평가하라 | Ivanti는 1년 내 2회 제로데이. 제품 선택 시 벤더의 CVE 이력, 패치 대응 속도 고려 |
| MFT 솔루션은 고위험군 | Cl0p의 3연속 MFT 공격. 파일 전송 솔루션 운영 시 특별 감시 필요 |
6.2 운영 관점
| 교훈 | 구체적 조치 |
|---|---|
| 인터넷 노출 장비 인벤토리를 항상 최신 유지 | 공격 표면 관리(ASM) 도구로 인터넷 노출 자산 지속 모니터링 |
| 패치는 "신속하되 검증"하라 | 벤더 패치를 무조건 신뢰하지 말고, 패치 후 취약점 재검증 수행 |
| 제로데이 대비 탐지 체계 구축 | 패치 불가 상황 대비: 네트워크 세그멘테이션, 이상 행위 탐지, NDR/XDR |
| 공장 초기화를 고려하라 | 어플라이언스 침해 시 패치만으로는 부족. 공격자 백도어 제거를 위해 공장 초기화 권고 |
6.3 개발/아키텍처 관점
| 교훈 | 구체적 조치 |
|---|---|
| 인증은 선택이 아닌 필수 | 모든 관리 인터페이스/API에 인증 강제. FortiManager처럼 인증 누락은 설계 단계에서 차단 |
| 메모리 안전 언어 전환 | C/C++ 기반 네트워크 스택에서 버퍼 오버플로우 반복 발생. Rust/Go 도입 검토 |
| 파일 업로드 = 고위험 기능 | 업로드 파일에 대한 확장자, MIME, 실행 권한, 저장 경로 검증 필수 (OWASP 체크리스트) |
| 패치 품질 보증 | 보안 패치에 대한 자체 레드팀 검증. "패치 완료"를 공언하기 전 우회 시도 테스트 |
6.4 대응 체크리스트
자신의 조직에 해당 제품이 있다면:
□ Fortinet FortiManager 사용 조직
├── FortiManager 7.6.1, 7.4.5, 7.2.8, 7.0.13, 6.4.15 이상으로 업데이트
├── fgfmd 포트(TCP 541) 인터넷 노출 여부 확인 및 차단
├── FortiManager 로그에서 /tmp/.tm 파일 생성 여부 확인
└── 관리하는 FortiGate 장비 전체의 비밀번호 변경
□ Ivanti Connect Secure 사용 조직
├── 최신 패치 적용 (9.1R18.9 이상)
├── ICT(Integrity Checker Tool) 실행하여 변조 확인
├── 의심 시 공장 초기화 후 패치 재적용
├── LDAP 서비스 계정 비밀번호 변경
└── VPN 접속 로그에서 비정상 세션 확인
□ Cleo Harmony/VLTrader/LexiCom 사용 조직
├── 최신 버전으로 업데이트 (5.8.0.24 이상)
├── 업로드 디렉토리에서 비인가 파일(웹셸) 확인
├── 인터넷 노출 차단 (VPN 경유로만 접근)
└── 전송 로그에서 비정상 파일 업로드 패턴 확인7. 참고 자료
사례 1: FortiManager
- Mandiant - Investigating FortiManager Zero-Day Exploitation
- Rapid7 - FortiManager CVE-2024-47575 Exploited in Zero-Day Attacks
- WatchTowr - FortiJump Exploit Analysis
- CISA - FortiManager Advisory
사례 2: Ivanti Connect Secure
- Mandiant/Google - Ivanti Connect Secure VPN Zero-Day
- Rapid7 - CVE-2025-0282 Ivanti Connect Secure Zero-Day
- Palo Alto Unit42 - Threat Brief: CVE-2025-0282
- Ivanti Security Advisory
사례 3: Cleo MFT
- SOCRadar - Cleo Vulnerabilities: Cl0p's Latest Attack Vector
- Rapid7 - Widespread Exploitation of Cleo File Transfer
- Recorded Future - Cleo MFT CVE-2024-50623 Analysis
종합
'Documentation & Blog' 카테고리의 다른 글
| The Balancer V2 Exploit (0) | 2026.04.06 |
|---|---|
| Red Team & AI 논문 정리 (0) | 2026.04.05 |
| PAC 보호기법 조사 (0) | 2026.04.05 |
| 김수키(Kimsuky)의 termsrv.dll 패치 기반 내부 침투 전략 분석 (0) | 2026.04.05 |
| AV/EDR 다계층 탐지 메커니즘 종합 분석 (0) | 2026.04.05 |