CVE-2026-35616: 가짜 패치를 통해 EKZ 인포스틸러를 유포하는 FortiClient EMS 취약점 악용

CVE-2026-35616: 가짜 패치를 통해 EKZ 인포스틸러를 유포하는 FortiClient EMS 취약점 악용

Fortinet의 FortiClient EMS(Endpoint Management Server)의 심각한 취약점이 현재 실제 환경에서 활발히 악용되고 있습니다. CVE-2026-35616으로 추적되는 이 결함은 특히 교묘한 수법인 가짜 소프트웨어 패치를 통해 EKZ 인포스틸러 악성코드를 배포하는 데 사용되고 있습니다. FortiClient EMS 취약점을 이용한 자격 증명 탈취 캠페인은 중앙 집중식 엔드포인트 관리를 사용하는 조직을 노리며, 자체 보안 인프라를 공격 경로로 전환시키고 있습니다.

분산된 원격 인력을 관리하는 IT 및 보안 팀에게 이는 추상적인 위협이 아닙니다. 공격 체인은 정상처럼 보이도록 설계되어 있어 특히 위험합니다.

CVE-2026-35616의 실제 악용 방식

CVE-2026-35616은 CVSS 점수 9.1을 기록하며, FortiClient EMS 내에서 인증 전 우회 및 권한 상승을 가능하게 합니다. 실질적으로 공격자는 유효한 자격 증명 없이도 관리 서버에 접근하여 높은 권한 수준으로 명령을 실행할 수 있습니다.

이 캠페인이 일반적인 취약점 악용 시도와 다른 점은 그 주변에 감싸인 사회 공학적 계층입니다. 위협 행위자들은 영향을 받는 소프트웨어의 정식 업데이트로 위장한 가짜 패치를 전달합니다. 관리자나 관리 대상 엔드포인트가 이 가짜 패치를 처리하면, 백그라운드에서 조용히 악성 PowerShell 명령이 실행됩니다. 피해자는 정상적인 업데이트로 보이는 화면을 보지만, 공격자는 거점을 확보합니다.

Fortinet은 해당 취약점이 제로데이 취약점으로 악용되고 있음을 확인한 후 4월에 핫픽스를 발표했습니다. 즉, 수정본이 나오기 전에 이미 공격이 진행 중이었습니다. 핫픽스를 적용하지 않은 조직은 여전히 노출되어 있으며, 이미 패치를 적용한 환경이라도 수정 조치 이전에 가짜 패치 미끼가 전달되었다면 위험에 처할 수 있습니다.

EKZ 인포스틸러가 탈취하는 정보와 위험 대상

악성 PowerShell 명령이 실행되면, 손상된 엔드포인트에 EKZ 인포스틸러가 배포됩니다. 주요 목적은 자격 증명 수집입니다. 이 악성코드는 특히 널리 사용되는 브라우저 전반에 걸쳐 저장된 사용자 이름과 비밀번호 등 브라우저 저장 자격 증명과 관리 대상 기기에서 접근 가능한 기타 민감 데이터를 노립니다.

FortiClient EMS는 단일 콘솔에서 조직 전체의 엔드포인트를 관리하도록 설계되었기 때문에, 성공적인 침해는 단일 기기에만 영향을 미치지 않습니다. EMS 서버를 통해 접근 권한을 얻은 공격자는 잠재적으로 관리 범위 내의 모든 엔드포인트에 도달할 수 있습니다. 이로 인해 단일 악용 사건의 피해 범위는 독립된 기기 침해보다 훨씬 더 커집니다.

가장 직접적인 위험에 처한 조직은 FortiClient EMS를 사용하여 원격 또는 하이브리드 인력을 관리하는 곳으로, 엔드포인트가 기존의 기업 경계 밖인 가정용 네트워크, 지사, 기타 환경에 분산되어 있습니다. 원격 근무자들은 편의를 위해 브라우저에 자격 증명을 저장하는 경우가 많아, 해당 엔드포인트가 인포스틸러에게 고가치 표적이 됩니다.

원격 팀에게 엔드포인트 보안 도구 하나로는 부족한 이유

이번 캠페인에는 쓰라린 아이러니가 담겨 있습니다. FortiClient 자체가 엔드포인트 보안 제품인데, 그 관리 서버가 이제 악성코드 전달 메커니즘으로 사용되고 있다는 점입니다. 이는 보안 팀이 이론적으로는 인정하지만 실무에서 적용하기 어려워하는 보다 넓은 원칙을 강조합니다: 어떤 단일 보안 도구도 그 자체로 충분하지 않다는 것입니다.

엔드포인트 보안 플랫폼은 방어 전략의 가치 있는 구성 요소이지만, 그것들 또한 소프트웨어이며 소프트웨어에는 취약점이 있습니다. 중앙 집중식 관리 도구가 손상되면, 본래 강제해야 할 보호 기능을 무력화할 수 있습니다. 공격자들은 이를 잘 알고 있기 때문에 관리 인터페이스와 보안 인프라가 높은 우선순위의 표적이 되었습니다.

특히 원격 팀의 경우 공격 표면은 관리 대상 기기를 훨씬 넘어 확장됩니다. 네트워크 트래픽, 자격 증명 전송, 인증 흐름은 모두 조직이 완전히 통제하지 못하는 환경을 통과합니다. 네트워크 수준 보호, 제로 트러스트 접근 정책, 강력한 자격 증명 위생 관행 등 계층화된 제어 수단은 엔드포인트 보안 도구에 대한 필수 보완재이지 선택 사항이 아닙니다.

이 캠페인에 사용된 가짜 패치 전달 방식은 업데이트 프로세스 자체가 어떻게 악용될 수 있는지도 강조합니다. 직원이나 관리자가 요청에 따라 패치를 설치하는 데 익숙해져 있다면, 공격자는 그 행동을 무기화할 수 있습니다. 공식 벤더 채널을 통해 패치의 진위 여부를 설치 전에 확인하는 것은 이 캠페인이 특별히 우회하려 시도하는 중요한 단계입니다.

가짜 패치 및 인포스틸러 공격에 대비한 조직 강화 방법

FortiClient EMS를 운영하는 조직의 최우선 과제는 검증된 업데이트 채널만을 통해 Fortinet의 공식 핫픽스를 적용하는 것입니다. 이메일, 채팅, 익숙하지 않은 인터페이스를 통해 전달된 프롬프트나 링크에 의존해서는 안 됩니다.

즉각적인 패치 외에 우선순위를 둘 만한 구체적인 조치는 다음과 같습니다:

• 침해 징후에 대해 관리 대상 엔드포인트 감사. 예상치 못한 PowerShell 실행 이벤트, 비정상적인 아웃바운드 연결, 또는 브라우저 데이터 저장소에서 자격 증명 수집 활동의 증거를 찾습니다.
• 관리 서버 접근 제한. FortiClient EMS는 엄격한 접근 통제 없이 공용 인터넷에 노출되어서는 안 됩니다. 누가, 어디서 관리 인터페이스에 도달할 수 있는지 제한하십시오.
• 모든 원격 접근 지점에 다중 인증(MFA) 강제 적용. 탈취된 브라우저 자격 증명은 기업 시스템에 대한 직접 접근을 제공할 때 가장 위험합니다. MFA는 그 연결 고리를 끊습니다.
• IT 관리자에게 가짜 패치 전술 교육. IT 스태프를 노리는 사회 공학 공격이 점점 더 일반화되고 있습니다. 그 전술을 이해하는 팀은 속을 가능성이 낮아집니다.
• 원격 엔드포인트에 대한 네트워크 수준 제어 평가. 원격 기기의 트래픽을 암호화하고 인증하는 도구는 엔드포인트 보안을 보완하는 보호 계층을 추가하며, 특히 엔드포인트 보안 도구 자체가 손상되었을 때 유용합니다.

CVE-2026-35616 캠페인은 패치된 취약점과 완전히 완화된 위협의 차이를 이해하는 것이 중요하다는 점을 상기시킵니다. 핫픽스가 적용된 후에도 조직은 가짜 패치 미끼가 이미 환경에서 실행되었는지 여부를 조사해야 합니다. 패치 시기와 보완적 제어는 모두 방정식의 일부이며, 이것이 바로 보안 프레임워크가 점차 엔드포인트 보호를 독립형 솔루션이 아닌 여러 계층 중 하나로 다루는 이유입니다.

조직이 원격 인력을 관리하고 있다면, 지금이 FortiClient EMS 배포뿐만 아니라 더 넓은 계층화된 보안 전략을 감사할 적기입니다. 다음 캠페인이 갭을 악용하기 전에 미리 식별하는 것이 자격 증명이 이미 도난당한 후 대응하는 것보다 훨씬 나은 위치입니다.