DEEP DIVE REPORT

CVE-2026-21643: FortiClient EMS 연결 제로데이 - 두 번째 인증 우회 취약점 심층 분석

SecurityDesk
2026.04.14 조회 10

연속 제로데이 공격 노출된 FortiClient EMS: 이스터 휴일을 노린 치명적 인증 우회 취약점 심층 분석

Fortinet FortiClient EMS(Enterprise Management System)에서 짧은 기간 내 연달아 발생한 두 개의 치명적 제로데이 취약점(CVE-2026-21643, CVE-2026-35616)은 단순한 개별 보안 결함을 넘어선 구조적 아키텍처 설계 문제를 시사합니다. 두 취약점 모두 CVSS 9.1의 Critical 등급을 받았으며, 인증 우회(Pre-authentication)가 핵심 공격 벡터입니다. 특히 이스터 휴일(Easter Weekend)을 활용한 공격자의 전략적 타이밍과 허니팟 관찰에 따르면 패치 공개 전부터 이미 익스플로잇이 시작되었다는 점이 우려됩니다.

1. 두 취약점 비교 분석

항목 CVE-2026-21643 CVE-2026-35616
CVSS 점수 9.1 (Critical) 9.1 (Critical)
취약점 유형 SQL Injection (CWE-89) Improper Access Control (CWE-284)
공격 벡터 Pre-authentication SQL Injection Pre-authentication API Access Bypass
영향 버전 FortiClient EMS 7.4.4 FortiClient EMS 7.4.5 ~ 7.4.6
패치 버전 7.4.5 7.4.7 (hotfix: 7.4.5/7.4.6)
최초 익스플로잇 관찰 2026년 3월 24일 2026년 3월 31일 (watchTowr 허니팟)
발견자 Gwendal Guégniaud (Fortinet PSIRT) Simo Kohonen (Defused Cyber), Nguyen Duc Anh
CISA KEV 등록 여부 미등록 2026년 4월 6일 추가
공격 기술 HTTP 'Site'-header SQL 스머글링 조작된 HTTP 요청 API 인증 우회
결과 권한 없는 코드/명령어 실행 권한 상승 포함 권한 없는 코드/명령어 실행

핵심 유사점

  1. Pre-authentication 공격: 두 취약점 모두 인증 없이 원격 코드 실행 가능
  2. 동일 제품/버전대: FortiClient EMS 7.4.x 시리즈
  3. 빠른 익스플로잇: 패치 공개 후 즉시 공격자 활용 관찰

2. 공격 타임라인: 연속적 취약점 공개 및 익스플로잇

2026년 2월: CVE-2026-21643 패치 공개 (FortiClient EMS 7.4.5)
2026년 3월 24일: CVE-2026-21643 익스플로잇 관찰 시작
2026년 3월 31일: watchTowr 허니팟, CVE-2026-35616 익스플로잇 시도 최초 감지
2026년 4월 4일: CVE-2026-35616 패치 공개 (FG-IR-26-099)
2026년 4월 6일: CISA KEV 카탈로그에 CVE-2026-35616 추가
2026년 4월 9일: FCEB 기관 패치 마감 기한

watchTowr 허니팟 관찰

watchTowr CEO Benjamin Harris에 따르면:

  • 3월 31일: CVE-2026-35616에 대한 익스플로잇 시도 최초 감지
  • 패치 공개 전 이미 공격: Fortinet이 비공식 패치를 발표하기 전부터 익스플로잇이 진행됨
  • 연속 타이밍: 이스터 주말(Easter Weekend)을 활용한 전략적 타이밍

공격자는 반복해서 연속 주말이 잠시 깨어날 최적의 시간이라는 것을 보여주었습니다. 보안 팀은 절반의 인력만 있고, 온콜 엔지니어는 주의가 분산되며, 침해와 탐지 사이의 시간이 몇 시간에서 몇밀로 늘어납니다.

— Benjamin Harris, watchTowr CEO

3. 근본 원인 분석: 연속 취약점이 시사하는 것

3.1 API 설계와 인증 아키텍처

두 취약점의 공통점은 Pre-authentication 취약점입니다. 이는 다음과 같은 근본적인 문제를 시사합니다:

  1. API 엔드포인트별 인증 검증 부족
  2. 특정 API 엔드포인트가 인증 미들웨어를 우회하도록 구성됨

  3. 헤더 기반 인증 우회가 가능한 구조적 허점

  4. SQL 인젝션 vs 액세스 컨트롤

  5. CVE-2026-21643: HTTP 'Site'-header를 통한 SQL 스머글링

  6. CVE-2026-35616: API 액세스 제어 불완전으로 직접 API 호출

  7. 버전 7.4 시리즈의 아키텍처 설계 문제

  8. 7.4.4 → 7.4.5(CVE-2026-21643 패치) → 7.4.5/7.4.6(CVE-2026-35616 영향) → 7.4.7
  9. 단일 버전대에서 연속적으로 치명적 취약점 발생

3.2 왜 연속적인가?

Benjamin Harris의 말처럼, 이는 수주 내에 발생한 두 번째 인증 우회 취약점입니다.

  • 첫 번째 취약점(CVE-2026-21643) 패치 후, 공격자들은 새로운 우회 경로를 찾아내는 데 성공
  • 두 번째 취약점(CVE-2026-35616)은 첫 번째 패치가 적용된 7.4.5 버전에서도 존재
  • 이는 패치가 취약점의 근본 원인을 제거하지 못했다는 강력한 증거

4. 공격자의 전략: 이스터 휴일 타겟팅

4.1 왜 이스터 주말인가?

  • 보안 팀 운영 축소: 연휴 기간에는 보안 인력이 최소화됨
  • 온콜 엔지니어 주의 분산: 연휴로 인해 대응 시간이 느려짐
  • 침해-탐지 사이의 시간 확장: 보통 몇 시간이었던 것이 몇밀로 늘어남
  • 패치 적용 지연: 월요일 아침에 처리하자는 기대가 발생

4.2 공격자의 타임라인 전략

날짜 공격자 활동 보안 팀 반응
3월 31일 (수요일) 익스플로잇 시도 시작 업무 중 빠른 탐지 가능
4월 4일 (일요일) 패치 공개 (주말) 연휴 기간 지연된 대응
4월 5일 (월요일) 이스터 (공휴일) 최소 인력 운영
4월 6일 (화요일) CISA KEV 추가 업무 시작 후 긴급 대응
4월 9일 (금요일) FCEB 패치 마감 주말 전 완료 압박

이 타임라인은 공격자가 보안 팀의 반응 속도를 뒤쫓는 전략을 사용하고 있음을 보여줍니다.

5. 공격 표면 및 영향

5.1 노출된 인스턴스

  • The Hacker News에 따르면, 약 1,000개의 FortiClient EMS가 공개적으로 인터넷에 노출됨
  • 이들 인스턴스는 즉시적인 공격 표면임

5.2 영향 받는 기능

  1. FortiClient EMS 7.4.5 ~ 7.4.6
  2. API 인증 우회
  3. 권한 없는 코드/명령어 실행

  4. 권한 상승(Privilege Escalation)

  5. FortiClient Cloud & FortiSASE

  6. Fortinet 측에서 이미 패치 완료
  7. 고객 조치 불필요

6. 대응 권고사항

6.1 즉시 조치 (Priority 1)

⚠️ 긴급: 24시간 이내 완료

  1. Hotfix 적용
  2. FortiClient EMS 7.4.5/7.4.6: 즉시 hotfix 적용
  3. FortiClient EMS 7.4.7 이상으로 업그레이드

  4. FortiClient EMS 7.4.4 사용자: 7.4.5 이상으로 업그레이드 필수

  5. 인터넷 노출 제한

  6. FortiClient EMS를 인터넷에서 직접 접근 불가하도록 구성
  7. VPN 뒤에 배치하거나 IP 제한 목록(IP allowlist) 적용

  8. 방화벽에서 외부 접속 차단

  9. CISA KEV 준수

  10. FCEB 기관: 2026년 4월 9일까지 패치 완료 필수
  11. 비정부 기관: 가능한 한 빨리 패치 권장

6.2 단기 조치 (Priority 2)

📅 72시간 ~ 1주 이내 완료

  1. API 액세스 로그 감사
  2. 지난 30일간 FortiClient EMS API 액세스 로그 검토
  3. 의심스러운 IP 접속 여부 확인

  4. 비정상적인 API 호출 패턴 분석

  5. 취약점 스캔 수행

  6. 내부망에서 FortiClient EMS 인스턴스 스캔
  7. 잠재적 익스플로잇 흔적 확인

  8. 포트 스캔 및 웹 애플리케이션 취약점 스캔 실행

  9. 인시던트 대응 계획

  10. 익스플로잇 발생 시 대응 절차 수립
  11. IR(Incident Response) 팀 대기 상태 확인
  12. 보안 대응 연락망 재점검

6.3 장기 조치 (Priority 3)

🔐 2주 ~ 1개월 이내 완료

  1. API 보안 설계 강화
  2. 모든 API 엔드포인트의 인증 검증 철저히
  3. Pre-authentication 취약점 검증 프로세스 도입

  4. API 보안 테스트(SAST/DAST) 정기 수행

  5. 보안 테스트 프로세스 개선

  6. 패치 후 회귀 테스트(Regression Test) 강화
  7. 동일 버전대 추가 취약점 검증 절차 도입

  8. Red Team/Purple Team 정기 실시

  9. 패치 관리 개선

  10. 연휴 기간 패치 적용 프로세스 수립
  11. Critical 취약점 즉시 대응 프로세스 마련
  12. 패치 배포 전후 모니터링 강화

7. 벤더 및 조직에 주는 교훈

7.1 Fortinet 및 벤더에게

  • 보안 설계 최우선순위: 기능 추가보다 보안 설계를 최우선으로
  • API 보안: 모든 API 엔드포인트의 인증 검증 철저히
  • 패치 테스트: 패치 후 추가 취약점이 도입되지 않는지 확인

7.2 조직에게

  • 연휴 기간 위험: 연휴 기간에도 즉시 패치 가능한 체계 마련
  • 공격 표면 감소: 인터넷에 직접 노출된 관리 인터페이스 최소화
  • 보안 인력 운영: 연휴 기간에도 최소 인력 유지

8. 참고 출처

결론

CVE-2026-21643과 CVE-2026-35616의 연속적 발생은 단순한 우연이 아닌 구조적 보안 설계 문제를 시사합니다. 두 취약점 모두 Pre-authentication을 통해 원격 코드 실행이 가능하며, 같은 버전대에서 연속적으로 발생했다는 점이 우려됩니다.

특히 이스터 주말을 활용한 공격자의 전략적 타이밍은 보안 팀이 연휴 기간의 운영에 대해 재고해야 할 필요성을 보여줍니다. watchTowr 허니팟의 관찰에 따르면, 패치 공개 전부터 이미 익스플로잇이 시작되었다는 점에서 신속한 패치가 아니라 예방적 방어가 필요합니다.

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9