FortiBleed는 러시아어권 해킹 그룹이 전 세계 Fortinet FortiGate 방화벽과 SSL VPN 게이트웨이를 대상으로 수행 중인 대규모 자격증명 탈취 사건이다. 보안 연구자 Bob Diachenko가 공격자의 노출된 운영 서버를 발견하면서 드러났고, Hudson Rock·SOCRadar·Kevin Beaumont가 데이터의 진위를 교차 검증했다.
공격자는 인포스틸러 및 과거 유출본에서 수집한 자격증명을 자동화 도구로 대입(credential stuffing)하고, SSL VPN 인증 해시를 가로채 GPU 클러스터로 오프라인 크래킹하는 방식으로 검증된(working) 계정 DB를 구축했다.
제로데이 취약점이 아니라 이미 유출된 평문 자격증명의 재사용이 핵심이라, 비밀번호 복잡도와 무관하게 침해가 발생한 점이 특징이다. 약 74,000개 방화벽 URL / 194개국이 영향권에 있으며, 데이터셋에 포함된 조직은 사실상 "이미 침해된 것으로 간주(assume breach)"하고 즉시 대응해야 한다.
| 항목 | 내용 |
|---|---|
| 공격 대상 | Fortinet FortiGate 방화벽 / SSL VPN 게이트웨이 |
| 공격 유형 | 자격증명 대입·스터핑, VPN 인증 해시 가로채기, 측면 이동 |
| 공격자 | 러시아어권 다중 운영자 그룹 (귀속 진행 중) |
| 최초 발견 | Volodymyr "Bob" Diachenko |
| 검증·분석 | Hudson Rock, SOCRadar, Kevin Beaumont |
| 영향 규모 | 약 73,932개 방화벽 URL / 21,632개 도메인 / 194개국 (≈75,000대 장비) |
| 온라인 상태 | 영향 장비 대부분 여전히 인터넷에 노출·온라인 |
| 노출 확인 도구 | Hudson Rock 무료 조회: hudsonrock.com/fortinet |
<aside> ⚠️
데이터셋 수치 차이: Diachenko/Hudson Rock 데이터셋은 약 73,932 URL / 21,632 도메인, SOCRadar가 독립적으로 발견한 운영 서버 데이터셋은 30,791대 장비 / 21,108 IP / 8,316 도메인으로 집계됨. 동일 캠페인을 서로 다른 수집 시점·범위에서 본 것으로 추정되며, 두 수치 모두 "전 세계 인터넷 노출 Fortinet 장비의 상당 부분"을 가리킨다.
</aside>
| 시점 | 내용 |
|---|---|
| 2026-06-13 | Diachenko, 공격자의 노출된 운영 서버(오픈 디렉터리: 스크립트·DB·cron·bash 히스토리) 발견 |
| 2026-06-16 | SOCRadar, 독립 발견한 30,791대 데이터셋 공개 (FortiBleed 명명) |
| 2026-06-17 | Hudson Rock 분석 공개 + 무료 조회 포털 오픈 / BleepingComputer·CybersecurityNews 보도 |
| 진행 중 | 공격자 인프라 여전히 가동, 신규 피해자 지속 추가 |