CVE-2026-24858은 Fortinet FortiOS의 FortiCloud SSO 인증 우회 취약점이다. CVSS 9.4(Critical), CISA KEV 등재. 공격자는 자신의 FortiCloud 계정만으로 다른 조직의 FortiGate 관리자 권한을 탈취할 수 있다. 2026년 1월 27일 패치가 나왔지만, 그 전에 이미 자동화된 공격이 진행되고 있었다.
1월 20일, 첫 번째 신고
어느 기업의 보안 관리자가 이상한 걸 발견했다.
FortiGate 방화벽에 자기가 만들지 않은 관리자 계정 이 있었다.
itadmin, audit, backup — 이름은 그럴듯했다. 하지만 누구도 만든 적이 없었다.
Fortinet에 신고가 접수됐다. 조사 결과, 공격자는 FortiCloud SSO 를 통해 들어왔다.
그런데 놀라운 점이 있었다.
공격자는 어떤 취약점도 '익스플로잇'하지 않았다. 그냥 정상적으로 로그인 했다.
FortiCloud SSO: 편리함이 만든 구멍
FortiCloud는 Fortinet 장비를 클라우드에서 관리하는 서비스다.
SSO(Single Sign-On)를 활성화하면 FortiCloud 계정 하나로 FortiGate 웹 관리 화면에 바로 접속할 수 있다. 별도 로그인 없이. 편리하다.
문제는 인증 검증 로직 에 있었다.
FortiCloud SSO가 활성화된 FortiGate는 FortiCloud에서 오는 인증 요청을 무조건 신뢰한다. CVE-2026-24858은 바로 이 신뢰 관계를 악용했다.
아무 FortiCloud 계정 으로 아무 FortiGate 에 관리자로 로그인할 수 있었다.
CWE-288(Authentication Bypass Using an Alternate Path)로 분류된 이 결함은, 정상 인증 경로를 우회한 것이 아니다. 정상 경로 자체가 깨져 있었다.
아파트로 비유하면 이렇다. 공동현관 비밀번호가 #1234인데, 이 비밀번호로 모든 아파트 의 현관문이 열리는 것이다.
공격 타임라인: 48시간의 기록
| 날짜 | 사건 |
|---|---|
| 1월 20일 | 첫 번째 고객 신고 접수 |
| 1월 22일 | Arctic Wolf, 자동화된 대규모 공격 확인 |
| 1월 22일 | Fortinet, 악성 관리자 계정 원격 차단 |
| 1월 26일 | FortiCloud SSO 전체 비활성화 (긴급 조치) |
| 1월 27일 | CISA KEV(알려진 악용 취약점 목록) 등재 |
| 1월 27일 | 패치된 장비에 한해 SSO 재활성화 |
| 1월 27일 | FortiOS 7.4.11, 7.6.6 패치 릴리스 |
주목할 점이 있다.
Fortinet은 패치를 만들기 전에 SSO 기능 자체를 꺼버렸다. 전 세계 FortiCloud SSO를 일괄 비활성화한 것이다. 그만큼 긴급했다.
왜 10,000대가 노출됐나
Shadowserver 스캔 결과, FortiCloud SSO가 활성화된 FortiGate 인스턴스는 약 10,000대. 그중 약 4분의 1이 미국에 있었다.
"SSO를 안 켰으면 안전하지 않나?"
맞다. FortiCloud SSO는 기본 비활성화 다.
하지만 함정이 있다.
FortiCare에 장비를 등록할 때, GUI에서 FortiCloud SSO 토글을 명시적으로 끄지 않으면 자동으로 활성화 된다.
등록 과정에서 "다음, 다음, 완료"를 누른 관리자라면? 사회공학 공격이 기술적 취약점만큼 위험한 이유가 바로 이것이다. 본인도 모르는 사이에 SSO가 켜져 있었을 수 있다.
공격자가 한 일
Arctic Wolf의 분석에 따르면, 공격은 자동화돼 있었다. 로그인부터 config 탈취까지 수 초 만에 완료됐다.
공격 주체는 아직 특정되지 않았다. Fortinet은 두 개의 악성 FortiCloud 계정 이 사용됐다고만 밝혔다. 국가 배후인지, 금전 목적인지는 조사가 진행 중이다.
1단계: 관리자 계정 생성
itadmin, audit, backup, vpnuser.
이름만 보면 정상 계정 같다. 공격자는 이런 이름으로 로컬 관리자 계정을 만들었다. SSO가 나중에 차단되더라도 로컬 계정으로 다시 들어오기 위해서다.
보험을 드는 것이다.
2단계: VPN 설정 변경
SSL-VPN 또는 IPSec VPN 설정을 수정하거나 새로 만들었다.
방화벽을 뚫은 것이 아니라, 방화벽이 스스로 문을 열어주도록 설정을 바꾼 것이다. 내부 네트워크로 진입하는 영구적인 통로. 이는 MITRE ATT&CK에서 방어 체계 무력화(T1562)로 분류되는 전형적인 기법이다.
3단계: 설정 파일 다운로드
FortiGate의 전체 설정 파일(config)을 다운로드했다.
이 파일 안에는:
- 네트워크 구성도
- 방화벽 정책 전체
- VPN 자격증명 (자격증명 탈취의 핵심 데이터)
- 내부 IP 대역 정보
가 모두 들어 있다.
방화벽 config를 탈취당했다는 것은, 조직의 네트워크 지도를 통째로 넘겨준 것 과 같다.
이전 취약점과의 관계
CVE-2026-24858은 갑자기 등장한 것이 아니다.
2025년 12월, FortiOS에서 비슷한 문이 뚫렸다. 인증 우회(CVE-2025-59718)와 권한 상승(CVE-2025-59719). Fortinet이 패치를 배포했고, 많은 관리자가 적용하고 안심했다.
그런데 2026년 1월, 패치를 적용한 장비에서 또 같은 증상이 나타났다.
처음에는 "패치 우회 아니냐"는 의심이 돌았다. 하지만 Fortinet의 결론은 달랐다. 이전 패치와는 무관한, 처음부터 별개의 취약점 이었다.
Fortinet이 "패치 바이패스가 아닌 신규 CVE"라고 별도 공지한 이유다.
즉시 확인해야 할 것
Fortinet FortiGate를 운영 중이라면 지금 바로 확인해야 한다:
- FortiOS 버전 — 7.4.11 또는 7.6.6 이상으로 업데이트했는가?
- FortiCloud SSO 상태 — 불필요하면 비활성화했는가?
- 관리자 계정 감사 — itadmin, audit, backup, vpnuser 등 의심 계정이 없는가?
- VPN 설정 검토 — 승인하지 않은 SSL-VPN/IPSec 설정이 추가되지 않았는가?
- config 변경 이력 — 1월 20일~27일 사이 비정상적인 설정 변경이 없었는가?
- 로그 확인 — FortiCloud SSO를 통한 비인가 로그인 기록이 없는가?
FortiGate는 국내 기업과 공공기관에서 널리 쓰이는 장비다. "우리는 SSO 안 켰으니까"라고 넘기기 전에, 정말 꺼져 있는지부터 확인해야 한다. FortiCare 등록 과정에서 자동 활성화됐을 수 있다.
참고 자료
- Fortinet PSIRT Advisory FG-IR-26-060
- CISA Alert: Fortinet FortiOS Authentication Bypass (2026-01-28)
- Fortinet patches CVE-2026-24858 after exploitation - The Hacker News
- Fortinet blocks exploited FortiCloud SSO zero-day - BleepingComputer
- Arctic Wolf: Malicious SSO Logins on FortiGate Devices
- MITRE ATT&CK - Exploit Public-Facing Application (T1190)
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 대화체 표현과 장면 묘사는 이해를 돕기 위해 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
관련 글 더 보기
한국 주요 사이버보안 사건
- SK텔레콤 2324만명 유심 침해: BPFDoor의 3년간 잠복
- 3.20 사이버테러: 32,000대 PC를 파괴한 북한의 공격
- 1.25 인터넷 대란: 376바이트 웜이 대한민국을 마비시킨 날
관련 MITRE ATT&CK 기법
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.