🔥 2026년 시작부터 또… Fortinet FortiSIEM 치명적 RCE(CVE-2025-64155) “실제 악용” 경고까지

연초가 시작된 지 얼마 안 됐는데, Fortinet 고객 입장에서는 또 한 번 익숙한 장면이 펼쳐졌어요.
이번엔 FortiSIEM에서 인증 없이 원격 코드 실행(RCE)까지 가능한 치명적 취약점(CVE-2025-64155, CVSS 9.4)이 공개됐고, 공개 직후부터 실제 공격(인 더 와일드 악용) 정황도 관측됐다는 내용이 이어지고 있습니다. 😥

FortiSIEM은 단순한 서버가 아니라, 조직의 로그와 이벤트가 모이는 “보안 운영의 허브”라서 더 위험합니다.
한 번 뚫리면 “서버 한 대” 문제가 아니라 탐지 무력화, 로그 변조, 2차 침투로 이어질 수 있거든요.

---

✅ 이번 이슈 한눈에 보기

핵심만 딱 정리하면 이렇습니다.

• 대상 제품: Fortinet FortiSIEM
• 취약점: CVE-2025-64155
• 심각도: CVSS 9.4 (Critical)
• 유형: OS Command Injection
• 영향: 인증 없이 RCE 가능
• 취약 버전 범위: 6.7 ~ 7.4
• 임시 완화책: phMonitor 접근 제한(특히 포트 7900)

여기서 가장 무서운 포인트는 “계정 필요 없음”이에요.
즉, 외부에서 접근 가능한 상태면 로그인 화면을 보든 말든 공격 시도 자체는 가능해요.

---

😨 왜 이렇게 위험해? (공격자 입장에서 너무 ‘맛있는’ 조건)

1) 인증 없이 실행 가능 = 대량 스캔/자동화 최적

요즘 공격은 “표적 해킹”만 있는 게 아니라, 인터넷에 노출된 자산을 자동 스캔해서 취약점이 있으면 바로 때리는 방식이 엄청 많아요.
인증이 필요 없다는 건, 공격 자동화에 너무 유리합니다.

2) PoC 공개 이후 공격 속도는 보통 더 빨라짐

기술 블로그/PoC가 나오면, 공격자는 그걸 그대로 복제하거나 변형해서 “대량 악용”으로 바꾸는 경우가 많아요.
이번 이슈도 공개 후 빠르게 트래픽이 늘어난 정황이 나오는 이유가 여기 있습니다.

3) FortiSIEM은 ‘보안 장비’라서 뚫리면 2차 피해가 큼

FortiSIEM은 조직 전반의 로그, 자산 정보, 연동 계정/키 등이 모일 수 있는 위치라
침해되면 아래 같은 흐름이 가능합니다.

• 탐지/경보 끄기 또는 우회 😵‍💫
• 로그 삭제/변조로 흔적 지우기
• 다른 시스템으로 수평 이동(lateral movement)
• 연동 키/계정 탈취로 추가 침투

---

🧩 공격 표면: phMonitor가 또 문제?

이번 이슈는 FortiSIEM 내부 구성요소 중 phMonitor라는 서비스가 공격 표면으로 언급됩니다.
쉽게 말하면 FortiSIEM의 프로세스를 모니터링하고, 요청을 핸들러로 보내는 역할을 하는데,
이 과정에서 “외부에서 호출 가능한 기능/핸들러”가 남아 있으면 공격자에게 길이 열릴 수 있어요.

그리고 이 phMonitor 계열 이슈는 과거에도 FortiSIEM 취약점들과 연결돼 언급된 바가 있어서,
운영자 입장에서는 “줄였다고 했는데 또…?” 같은 기시감이 생길 수밖에 없습니다. 😥

---

🚨 지금 당장 해야 할 일 (운영/보안팀 액션 플랜)

여기서부터가 진짜 중요합니다. “읽고 끝”이 아니라 오늘 바로 체크할 수 있는 항목이에요.

1) 최우선: 패치 적용 ✅

• 취약 버전(6.7~7.4) 사용 중이면 고정 버전으로 업데이트가 최우선입니다.
• 이 유형은 “나중에 야간 점검 때…”가 위험해요.
  공개 직후부터 공격이 붙는 케이스가 많습니다.

2) 임시 완화책: 포트 7900(phMonitor) 접근 제한 🔒

Fortinet이 제시한 임시 조치의 핵심은 이거예요.

• phMonitor 포트(7900)에 대한 접근 통제
  • 관리망/점프서버 IP만 허용
  • 사용자망/외부망/서버망 등 불필요한 구간은 전부 차단
  • 가능하면 인터넷 직접 노출은 즉시 제거

포트만 막으면 끝?
아니요. 이건 “시간 벌기”고, 패치가 정답입니다.

3) 침해 여부 점검(최소 체크리스트) 🔎

패치 전후로 아래는 꼭 확인해보세요.

• 방화벽/네트워크 로그에서 7900 포트 유입 증가 여부
• FortiSIEM 서버에서
  • 평소와 다른 프로세스 실행
  • 알 수 없는 외부 통신(아웃바운드)
  • 신규 계정/권한 변경
  • 스케줄러(크론/작업 스케줄러) 등록 흔적
  • 설정 파일/바이너리 변경 여부

---

🔍 탐지 포인트(실무자용, 바로 적용)

네트워크 레벨

• dest_port=7900 트래픽을 뽑아서:
  • 갑자기 다양한 출발지에서 들어오는지
  • 동일 출발지가 여러 자산을 찍고 다니는지(스캐닝 패턴)
  • 새벽/야간 반복 연결이 증가했는지

호스트 레벨(EDR/서버 로그)

• FortiSIEM 관련 프로세스에서 자식 프로세스 생성이 비정상적으로 늘어나는지
• 서버가 평소에 하지 않던 외부 통신을 하는지
• 신규 파일 드롭/서비스 등록 흔적이 생겼는지

---

🧠 결론: “FortiSIEM은 ‘관제 장비’라서 더 빡세게 지켜야 함”

FortiSIEM 같은 장비는 조직 내부에서 “보안 운영의 중심” 역할을 하기 때문에,
공격자에게는 단순 서버보다 가치가 훨씬 높습니다.

그래서 운영 철학도 이렇게 가야 안전해요.

• 기본값은 외부 접근 불가(Deny by default)
• 관리 경로는 점프서버 + MFA + IP allowlist
• 보안장비 패치는 “서버보다 더 빠르게”
• “SIEM이 조용한 게 정상인가?”까지 모니터링하는 메타-모니터링 필요