CVE-2026-35616: Fortinet FortiClient EMS "EMS-Evasion" 심층 분석

기술적 개요

CVE-2026-35616은 Fortinet FortiClient Enterprise Management Server (EMS)의 API 계층에 존재하는 Improper Access Control 취약점이다. 공격자는 특수하게 조작된 네트워크 요청을 통해 모든 인증 및 권한 검사를 우회할 수 있으며, 이는 마치 인증된 관리자인 것처럼 API를 호출할 수 있는 권한 상승으로 이어진다.

취약점 상세

• CVE ID: CVE-2026-35616
• CWE: CWE-284 (Improper Access Control)
• CVSS Score: 9.1 (Critical)
• 영향 제품: FortiClient EMS 7.4.5, 7.4.6
• 공격 유형: Unauthenticated Remote Code Execution
• 공격 벡터: Network
• 공격 복잡성: Low
• 필요 권한: None
• 사용자 상호작용: None

기술적 메커니즘

이 취약점의 핵심은 API 경계에서 강제되는 인증 및 권한 검사를 완전히 우회할 수 있다는 점이다. 공격자는 유효한 자격 증명 없이도 네트워크 접근 권한만 있으면 FortiClient EMS 서버 인터페이스에 특수 요청을 보내 권한을 상승시킬 수 있다. 일단 관리자 권한을 확보하면, 엔드포인트 정책을 조작하고, 연결된 FortiClient에 악성 페이로드를 배포하며, 네트워크 내에서 횡적 이동을 수행할 수 있다.

영향 분석

FortiClient EMS는 Fortinet 엔드포인트 보안 생태계의 중앙 관리 및 정책 시행 컴포넌트이다. 온프레미스에 배포되어 조직의 엔드포인트 플릿 전체에 걸쳐 FortiClient 설치를 관리하는 관리 백본 역할을 한다. 따라서 EMS의 타협은 단순히 관리 서버만 위험에 노출시키는 것이 아니라, 전체 관리 엔드포인트 플릿에 대해 악성 구성을 푸시하거나 코드를 실행할 수 있는 "god-mode" 능력을 공격자에게 제공하게 된다.

노출 범위

Shadowserver Foundation의 스캔에 따르면 약 2,000~2,400개의 FortiClient EMS 인스턴스가 인터넷에 직접 노출되어 있으며, 대부분 미국과 유럽에 집중되어 있다. 실제 악용이 공개 전 3월 31일부터 관찰되었기 때문에, 노출된 인스턴스를 운영하는 조직은 타협을 가정하고 조사해야 한다.

백투백 취약점 연쇄

CVE-2026-35616의 완전한 심각도는 이전 취약점과 연결하여 이해할 때 명확해진다.

CVE-2026-21643

2026년 3월 30일에 공개된 CVE-2026-21643은 FortiClient EMS 버전 7.4.4의 멀티테넌트 배포에 영향을 미치는 SQL Injection 취약점(CWE-89, CVSS 9.8)이다. HTTP Site 헤더가 인증 시행 전에 백엔드 PostgreSQL 쿼리로 직접 전달되므로, /api/v1/init_consts 엔드포인트를 타겟팅하는 공격자는 임의의 SQL을 주입하여 인증되지 않은 원격 코드 실행을 달성할 수 있다.

CVE-2026-21643의 패치는 버전 7.4.5였다. 그러나 3월 30일 공지에 따라 7.4.4 설치를 며칠 내에 7.4.5로 업그레이드한 조직은 자신들이 CVE-2026-35616을 도입한 버전을 실행하고 있다는 것을 알게 되었으며, 패치가 가능해지기 전에 제로데이 악용에 노출되었다. 연속적인 릴리스에서의 백투백 심각 취약점은 Fortinet의 릴리스 주기에서 보안 회귀 테스팅 깊이에 대한 의문을 제기하며, CVE-2026-21643에 대한 패치를 출하할 때 API 인증 계층을 적절히 평가하지 않았음을 시사한다.

역사적 벤치마크 사례

CVE-2026-35616과 CVE-2026-21643의 위협 모델은 FortiClient EMS의 역사적 취약점에서 확인할 수 있다.

CVE-2023-48788

2024년 3월에 공개된 CVE-2023-48788은 유사하게 인증되지 않은 원격 코드 실행을 가능하게 하는 FortiClient EMS의 사전 인증 SQL Injection 취약점으로 CVSS 점수 9.8을 받았다. Darktrace, Kaspersky, Horizon3.ai의 타협 후 분석에 따르면, 일관된 공격 플레이북이 문서화되었다. 초기 액세스 후 합법적인 원격 모니터링 및 관리(RMM) 도구(ScreenConnect, AnyDesk, Atera 등)를 배포하여 지속성을 확립한 다음, Mimikatz와 WebBrowserPassView를 사용하여 자격 증명을 수집하고 PsExec과 WMI를 통해 횡적 이동을 수행하며, 적어도 하나의 문서화된 사례에서 초기 액세스 약 3주 후 Medusa 랜섬웨어를 배포했다.

이 역사는 현재 사건 대응을 위한 현실적인 위협 모델을 설정한다. 조직은 초기 액세스를 훨씬 넘어 확장되는 공격자 플레이북을 예상해야 한다.

패치 및 완화 조치

즉시 조치 (24~48시간 이내)

FortiClient EMS 7.4.5 또는 7.4.6을 실행하는 조직은 Fortinet 지원 포털에서 제공되는 공식 패키지를 사용하여 각각 핫픽스 버전 7.4.5.2111 또는 7.4.6.2170으로 즉시 패치해야 한다. 곧 출시될 7.4.7 릴리스로의 업그레이드가 뒤따라야 한다.

멀티테넌트 구성에서 여전히 버전 7.4.4를 실행하는 조직은 더 어려운 결정에 직면한다. 7.4.5로 업그레이드하면 CVE-2026-21643은 해결되지만 CVE-2026-35616이 도입되며, 유일한 완전한 완화 경로는 단일 유지보수 기간에 업그레이드와 핫픽스를 모두 적용하거나, 7.4.7이 사용 가능할 때까지 인스턴스를 인터넷 액세스에서 완전히 격리하는 것이다.

패치를 즉시 적용할 수 없는 경우, 방화벽 규칙을 통해 FortiClient EMS 관리 인터페이스에 대한 네트워크 액세스를 알려진 양호한 관리 IP 범위로 제한해야 한다. 네트워크 액세스를 제한하는 것은 유효한 중간 완화 조치다.

단기 완화 조치

즉시 패칭 외에도, 몇 가지 아키텍처 제어가 FortiClient EMS 노출로 인한 지속적인 위험을 줄었다.

• 네트워크 세분화: EMS 관리 인터페이스를 공용 인터넷에서 직접 액세스할 수 없도록 해야 한다. 원격 관리가 필요한 경우, 강력한 다중 인증(MFA)이 있는 VPN 또는 베이스천 호스트를 통해 액세스를 게이팅해야 한다.
• 횡적 이동 제한: EMS 호스트 자체에서 임의의 인터넷 인프라로의 아웃바운드 연결을 방지하는 네트워크 세분화는 성공적인 타협의 폭발 반경을 제한한다.
• 행동 모니터링: EMS 서버 호스트에 대한 행동 모니터링을 배포하여 이전 캠페인에서 문서화된 타악용 후 지표를 감지해야 한다. ScreenConnect, AnyDesk, Atera, Splashtop 에이전트 설치, Mimikatz 또는 자격 증명 수집 유틸리티 실행, 호스트에서의 PsExec 사용, WMI 기반 횡적 이동 또는 Advanced Port Scanner 실행, 자체 서명 인증서를 사용하는 도메인으로의 비정상적인 아웃바운드 SSL 연결 등이 포함된다.

로그 분석

모든 패치 활동 후, 조직은 패치 날짜 이전의 FortiClient EMS 액세스 로그를 철저히 검토해야 한다. 로그 보존 정책에 따라, 적어도 3월 25일까지 확장하여 관찰된 공개 전 악용 윈도우를 포착해야 한다. 의심스러운 API 호출, 비정상적인 계정 생성 또는 수정 활동, 예상치 못한 엔드포인트 정책 구성 변경이 사냥할 주요 아티팩트다.

장기 전략적 고려사항

연속적인 FortiClient EMS 릴리스에서의 백투백 심각 취약점은 일반적인 패치 관리를 넘어선 벤더 위험 질문을 제기한다. Fortinet을 전략적 벤더로 두는 조직은 API 인증 우회 클래스 취약점의 근본 원인과 아키텍처 수정을 위한 타임라인을 다루는 Fortinet 계정 팀에서의 보안 태세 브리핑을 공식적으로 요청해야 한다.

아키텍처 수준에서 조직은 Zero Trust 아키텍처 내 시행 지점으로서 FortiClient EMS에 대한 의존도를 검토해야 한다. FortiClient EMS는 엔드포인트에 대한 정책 브로커 및 ZTNA 오케스트레이터로 작동하기 때문에, 그 타혼은 ZTNA 프레임워크가 시행하도록 설계된 신뢰 결정의 무결성을 훼손할 수 있습니다. 독립적인 검증 없이 EMS 제어 평면의 무결성에 과도한 신뢰를 두는 Zero Trust 설계는 재검토되어야 한다.

결론

CVE-2026-35616은 30일 내에 FortiClient EMS를 타겟팅하는 두 번째 심각 취약점으로, API 인증 우회를 통해 인증 없이 원격 코드 실행을 가능하게 한다. CVE-2026-21643 패치 직후 이어지는 이 취약점 연쇄는 심각한 보안 우려를 제기한다. 조직은 즉시 패치를 적용하고, 노출된 인스턴스를 검토하며, 장기적인 벤더 위험 평가를 수행해야 한다.

참고문헌

• The Hacker News
  https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html

• BleepingComputer
  https://www.bleepingcomputer.com/news/security/new-forticlient-ems-flaw-cve-2026-35616-exploited-in-attacks/

• Fortinet PSIRT
  https://fortiguard.fortinet.com/psirt/FG-IR-26-099

• Security Arsenal
  https://securityarsenal.com/blog/critical-forticlient-ems-vulnerability-cve-2026-35616-immediate-defense-and-patching-guide

• Cloud Security Alliance Labs
  https://labs.cloudsecurityalliance.org/research/csa-research-note-fortinet-forticlient-ems-cve-2026-35616-20

• Shadowserver Foundation
  https://x.com/Shadowserver/status/2040845567882928304

• Defused Cyber
  https://x.com/DefusedCyber/status/2040315969159995847

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 된다.