조작된 SAML 메시지로 인증 우회...CISA, KEV 목록에 추가

[보안뉴스 김형근 기자] 보안 기업 아틱울프가 포티게이트 방화벽 장비를 노린 악의적 싱글 사인온(SSO) 로그인 시도를 발견하고 경고했다. 이번 공격은 포티넷이 자사 포티게이트 제품군의 인증 우회 취약점을 공개한 지 불과 일주일 만에 발생했다.


[자료: gettyimagesbank]

문제가 된 취약점은 CVE-2025-59718과 CVE-2025-59719로 명됐으며, 두 건 모두 심각한 보안 결함으로 분류됐다. 해커들은 단일 로그인 표준 기술 SAML 메시지를 조작, 포티클라우드 SSO 인증 과정을 통과할 수 있었다. 아틱울프는 자사 보안관제 서비스를 통해 수십 건의 실제 네트워크 침입 사례를 관찰했다고 밝혔다.

현재 공격 배후가 누구인지는 밝혀지지 않았다. 특정 기업을 표적으로 하기보다 보안이 허술하게 방치된 대상을 노리는 기회주의적 성격을 띠고 있다.

아틱울프 연구팀은 포티넷에 기술적인 세부 사항을 전달하고 공동 조사를 진행 중이다. 보안 탐지 기업 디퓨즈드 역시 주말 동안 7개의 서로 다른 IP가 포티넷 허니팟을 공격하는 것을 확인했다.

포티넷에 따르면, 이 SSO 기능은 공장 초기화 상태에서는 꺼져 있지만 관리자가 GUI를 통해 장치를 등록할 때 자동으로 활성화될 수 있다. 관리자가 ‘포티클라우드 SSO를 사용한 관리자 로그인 허용’ 옵션을 수동으로 끄지 않는 한 공격에 노출될 위험이 커진다.

미국 사이버보안및인프라보안국(CISA)은 이 취약점을 ‘알려진 악용된 취약점’(KEV) 목록에 즉시 추가했다. 피해를 막기 위해 보안 패치가 완료될 때까지 임시로 포티클라우드 로그인 기능을 비활성화할 것이 권고된다.

악의적 활동이 감지됐다면, 즉시 방화벽 관리자 계정의 자격 증명을 재설정해야 한다. 또 방화벽 관리 인터페이스로에 대한 접근은 신뢰할 수 있는 내부 네트워크로만 제한하는 것이 안전하다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>