CVE-2026-35616: FortiClient EMS 인포스틸러, 기업 네트워크를 강타하다

2026년 5월에 관찰된 새로운 공격 캠페인이 Fortinet의 FortiClient Enterprise Management Server(EMS)에 존재하는 치명적 취약점을 통해 기업 조직을 표적으로 삼고 있습니다. CVE-2026-35616으로 식별된 이 취약점은 공격자가 유효한 자격 증명 없이도 인증을 완전히 우회하고 관리 명령을 실행할 수 있게 합니다. 그 결과, 관리 대상인 기업 엔드포인트에 대규모로 도달하는 FortiClient EMS 인포스틸러 공격이 발생하며, 민감한 직원 및 조직 데이터가 심각한 위험에 처하게 됩니다.

이것은 좁은 범위의 표적 침입이 아닙니다. FortiClient EMS가 대규모 조직의 엔드포인트 관리 중심에 위치하기 때문에, 단 한 번의 익스플로잇 성공만으로도 서버가 관리하는 모든 장치로 파급될 수 있습니다.

CVE-2026-35616이 기업 네트워크 내에서 공격자에게 허용하는 것

FortiClient EMS는 IT 관리자가 기업 전체 장비의 엔드포인트 보안 정책, VPN 구성, 소프트웨어 배포를 중앙에서 제어할 수 있도록 설계되었습니다. 바로 그 관리 범위가 CVE-2026-35616을 그토록 위험하게 만드는 이유입니다.

인증 우회 결함을 악용함으로써 공격자는 서버에서 합법적인 관리 주체를 사칭할 수 있는 능력을 얻습니다. 그 위치에서 관리 대상 장치로 소프트웨어를 강제 배포하고, 엔드포인트 구성을 수정하며, 원격으로 명령을 실행할 수 있습니다. 이 모든 과정에서 일반적으로 보안 팀에 경고를 발생시키는 표준 인증 검사가 작동하지 않습니다. 2026년 5월 캠페인에서 공격자는 이 접근 권한을 이용해 합법적인 Fortinet 패치로 위장한 인포스틸러를 전달했으며, 이는 악성 페이로드가 자동화된 방어 체계와 사람 관찰자 모두에게 일상적인 유지보수처럼 보이게 하는 사회공학적 계층입니다.

Fortinet은 이 취약점이 야생에서 제로데이로 악용되고 있는 것이 확인된 후 2026년 4월에 해당 취약점을 해결하는 핫픽스를 출시했습니다. 아직 해당 패치를 적용하지 않은 조직은 여전히 위험에 노출되어 있습니다.

인포스틸러가 기업 장치에서 수집하는 개인 및 자격 증명 데이터

엔드포인트에서 인포스틸러가 실행되면 그 범위는 광범위합니다. 현대의 인포스틸러는 로컬에 저장되거나 장치를 통과하는 모든 것을 빨아들이도록 설계되었습니다. 즉, 저장된 브라우저 자격 증명, 세션 쿠키, 자동 완성 데이터, 비밀번호 관리자에 저장된 비밀번호, VPN 자격 증명, 이메일 계정 토큰, 민감한 문서와 관련된 패턴과 일치하는 파일 등이 포함됩니다.

기업 장치에서는 이것이 더욱 복합적인 개인정보 보호 문제를 야기합니다. 직원들은 개인적 용도와 업무적 용도가 혼재된 작업을 업무용 기기에서 자주 수행합니다. 단 하나의 손상된 엔드포인트에서 해당 직원이 해당 장치에서 접근한 기업 시스템과 개인 계정 모두의 로그인 자격 증명이 유출될 수 있습니다. 세션 쿠키는 공격자가 비밀번호 없이도 피해자로 인증할 수 있게 해주기 때문에 특히 해로우며, 많은 경우 다중 인증을 우회할 수 있습니다.

관리 계층을 통한 전달 메커니즘은 이 상황을 더 악화시킵니다. 페이로드가 신뢰할 수 있는 관리 채널을 통해 도착하기 때문에, 사용자 계층의 행동 신호에 의존하는 엔드포인트 탐지 도구는 초기 전달 단계에서 이를 포착하지 못할 수 있습니다.

이 공격은 신뢰할 수 있는 소프트웨어 채널을 전달 수단으로 사용하는 다른 캠페인과 구조적으로 유사합니다. 악성코드를 합법적인 도구로 위장하는 사회공학적 전술은 2026년 여러 위협 그룹에서 반복되는 주제가 되었으며, 이는 공격자들이 겉보기에 합법적으로 보이는 것과 실제의 차이를 지속적으로 악용한다는 점을 강조합니다.

기업 관리 도구 침해가 직원 개인정보를 대규모로 위협하는 이유

대부분의 데이터 유출 논의는 데이터베이스나 애플리케이션 계층에 초점을 맞춥니다. FortiClient EMS 캠페인은 다른, 그리고 충분히 주목받지 못한 위험을 부각시킵니다. 바로 관리 인프라 계층의 침해입니다.

공격자가 단일 엔드포인트가 아닌 엔드포인트를 관리하는 도구 자체를 제어하게 되면, 피해 범위가 극적으로 확대됩니다. 한 직원의 장치만 감염되는 대신, 해당 EMS 인스턴스가 관리하는 모든 장치가 잠재적 표적이 됩니다. 대규모 기업의 경우, 단 한 번의 조직적인 푸시로 수백에서 수천 대의 기기가 동일한 악성 페이로드를 받을 수 있습니다.

이는 또한 기업 데이터베이스의 전통적인 침해와는 구별되는 직원 개인정보 보호의 특정 문제를 야기합니다. 개별 장치에서 실행되는 인포스틸러는 개인 브라우징 기록, 개인 계정 자격 증명, 기업 서버에 한 번도 닿지 않은 로컬 저장 파일 등 조직 자체가 결코 확인하거나 중앙에서 저장하지 않을 데이터를 수집합니다. 직원들은 자신의 기기에서 무엇이 수집되었는지 거의 알 수 없으며, 표준 기업 사고 대응 프로세스는 분산된 엔드포인트 데이터보다 중앙 집중식 데이터 저장소를 중심으로 설계된 경우가 많습니다.

개인정보 보호에 민감한 직원과 IT 팀이 지금 당장 해야 할 일

IT 및 보안 팀에게 최우선 과제는 패치입니다. Fortinet은 2026년 4월에 CVE-2026-35616에 대한 수정 사항을 출시했습니다. FortiClient EMS를 실행 중이고 해당 핫픽스를 아직 적용하지 않은 조직은 이를 긴급하게 처리해야 합니다. 또한 조직은 EMS 접근 로그에서 비정상적인 관리 행위, 특히 알려진 관리자가 시작하지 않은 소프트웨어 배포나 구성 변경이 있었는지 감사해야 합니다.

패치 외에도, 이 캠페인은 관리 인프라와 광범위한 네트워크 간의 분할을 재검토하라는 유용한 계기가 됩니다. EMS 서버는 강력한 접근 통제 없이 공용 인터넷에서 직접 접근 가능해서는 안 되며, 관리 인터페이스는 내부 사용자에게도 추가 인증 계층을 요구해야 합니다.

개별 직원의 경우 상황은 더욱 미묘합니다. 관리되는 기업 장치에서 무엇이 실행되고 있는지에 대한 가시성은 제한적이며, 고용주가 관련 패치를 적용했는지에 대한 통제력은 더욱 낮습니다. 몇 가지 실용적인 조치로 개인적 노출을 줄일 수 있습니다.

  • 업무용 기기의 브라우저에 개인 계정 자격 증명을 저장하지 마십시오. 인포스틸러가 실행되면 저장된 비밀번호가 가장 먼저 수집되는 대상 중 하나입니다.
  • 가능한 경우 개인 계정에는 별도의 개인 기기를 사용하여 해당 트래픽이 완전히 기업 관리 인프라를 벗어나도록 하십시오.
  • 업무 기기에서 기업 업무 목적 이외의 트래픽에는 개인 VPN 사용을 고려하십시오. 이와 같은 관리 계층 공격은 관리 채널과 엔드포인트 소프트웨어를 표적으로 삼으므로, 기기에서 실행되는 개인 VPN은 EMS를 통해 전달된 인포스틸러 캠페인이 네트워크 수준에서 쉽게 가로챌 수 없는 암호화된 트래픽 개인정보 보호 계층을 추가합니다.
  • 가장 민감한 개인 계정에 하드웨어 보안 키나 피싱 저항 다중 인증(MFA)을 활성화하십시오. 세션 쿠키가 캡처되더라도 하드웨어 기반 2단계 인증으로 보호된 계정은 접근이 훨씬 더 어렵습니다.

이 FortiClient EMS 인포스틸러 기업 공격 캠페인은 기업 인프라 침해가 곧 개인정보 보호 사건이기도 하다는 점을 분명히 상기시켜 줍니다. 패치는 CVE-2026-35616이 열어 놓은 구체적인 문을 닫지만, 조직의 보안 태세와 관리 기기에서의 개인 데이터 위생을 함께 점검하는 것이 더 지속 가능한 대응입니다.