
2025년 12월 9일, Fortinet은 FortiOS, FortiWeb, FortiProxy, FortiSwitchManager에 영향을 미치는 두 건의 인증 우회 취약점(CVE-2025-59718, CVE-2025-59719)에 대한 주요보안 권고문을 발표했다. 해당 취약점은 FortiCloud SSO 로그인 과정에서 암호화 서명 검증이 부적절하게 처리되는 문제를 악용해, 인증되지 않은 공격자가 관리자 권한을 획득할 수 있도록 한다. 취약점 공개 직후 실제 공격에 악용되는 정황이 포착되었으며, 미국 사이버보안 및 인프라 보안국(CISA)은 해당 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 추가했다. 이번 사례는 인터넷에 노출된 관리 인터페이스와 장기간 방치된 설정 오류가 기업 전반의 침해로 이어지는 Fortinet 취약점에서 반복적으로 관찰되는 패턴을 다시 한번 보여준다.
본 글에서는 해당 취약점이 지니는 기술적 위험을 분석하고, 왜 조직이 기존의 취약점 대응 중심 보안에서 벗어나 공격 표면 관리(ASM, Attack Surface Management) 기반 방어 전략으로 전환해야 하는지를 살펴본다.
FortiCloud SSO 인증 우회 취약점 개요

- CVE-2025-59718
- 영향 대상: FortiOS, FortiProxy, FortiSwitchManager
- CVE-2025-59719
- 영향 대상: FortiWeb
두 취약점 모두 SAML 응답 메시지에서 암호화 서명 검증이 부적절하게 처리되는 문제에서 비롯된다. 공격자는 조작된 SAML 메시지를 전송함으로써 정상적인 인증 절차를 거치지 않고도 장비로 하여금 관리자 세션을 부여하도록 속일 수 있다. 이로 인해 인증되지 않은 상태에서 관리자 권한 획득이 가능해진다.
Fortinet은 공장 초기 설정 상태에서는 FortiCloud SSO 로그인이 기본적으로 비활성화되어 있다고 설명했다. 그러나 실제 운영 환경에서는 공격 표면을 크게 확장시키는 중요한 설정상의 함정이 존재한다.
바로 GUI를 통해 장비를 FortiCare에 등록할 경우, 관리자가 ‘FortiCloud SSO를 사용한 관리자 로그인 허용(Allow administrative login using FortiCloud SSO)’ 옵션을 직접 비활성화하지 않는 한 해당 기능이 자동으로 활성화될 수 있다는 점이다.
이로 인해 많은 조직이 SSO 기반 관리 기능을 의도적으로 사용하지 않았음에도 불구하고, 공격에 악용될 수 있는 조건을 이미 충족한 상태에 놓여 있을 가능성이 높다.
관측된 공격 흐름 및 영향
공격자들은 2025년 12월 12일을 전후로 공개 인터넷을 대상으로 한 기회주의적 스캐닝 및 공격 시도를 시작한 것으로 관측되었다. 전반적인 공격 흐름은 다음과 같은 단계로 진행된다:
- 노출된 관리 인터페이스 식별: 공격자는 공용 인터넷을 스캔해 GUI 접근이 가능한 Fortinet 장비를 탐색한다.
- 인증 우회: 관리자 계정 엔드포인트로 조작된 SAML 메시지를 전송해 인증 절차를 우회한다.
- 설정 정보 탈취: 접근 권한을 획득한 직후, 공격자는 GUI를 통해 장비 설정 파일을 즉시 내보내기 한다.
- 자격 증명 크랙: 설정 파일 내 비밀번호는 해시 형태로 저장되어 있으나, 공격자는 오프라인 사전 공격(dictionary attack) 을 통해 취약한 자격 증명을 복호화한다. 이로 인해 초기 취약점이 패치된 이후에도 지속적인 접근 권한을 유지할 수 있게 된다.
2025년 12월 22일 기준, 패치가 이미 공개되었음에도 불구하고 주요 취약점 CVE-2025-59718에 여전히 400개 이상의 취약한 자산이 존재하는 것으로 확인되었다.
https://www.criminalip.io/ko/asset/search?query=cve_id%3ACVE-2025-59718

Fortinet 엣지 취약점이 반복적으로 악용되는 이유
FortiCloud SSO 인증 우회 취약점은 단발성 이슈가 아니다. 최근 Fortinet 관련 취약점들은 공통적으로 취약점 공개 → 공격 기법의 빠른 확산 → 노출된 엣지 장비를 겨냥한 공격이라는 동일한 패턴을 반복해 왔다.이러한 사고의 근본 원인은 취약점 자체에만 있는 것이 아니라, 외부에 노출된 관리 서비스와 운영 환경에서 누적된 설정 변경이 결합되면서 공격 표면이 확장되는 구조에 있다.
여러 실제 침해 사례를 살펴보면, 공격자들은 외부에서 접근 가능한 에지 인프라를 일관되게 우선순위에 두었으며, 노출된 관리자 접속 권한을 초기 제어권을 확보하기 위한 손쉬운 수단으로 활용해 왔다.
취약점 인지에서 공격 표면 가시성으로

기존의 취약점 관리는 영향을 받는 버전을 식별하고 패치를 적용하는 데 초점을 맞추지만, 이러한 접근 방식은 취약점 공개 시점에 어떤 자산이 외부에서 실제로 접근 가능한지에 대한 명확한 가시성이 조직에 이미 확보되어 있다는 전제를 깔고 있다. 그러나 실제 공격이 진행되는 상황에서는 많은 보안 조직이 어떤 관리 인터페이스가 실제로 외부에 노출되어 있고, 실제로 악용 가능한 상태인지를 신속하게 판단하는 데 어려움을 겪는다. 이로 인해 취약점 인지와 실제로 존재하는 위험 사이에 간극이 발생하게 된다.

공격 표면 관리(ASM, Attack Surface Management)는 이러한 문제를 공격자의 관점에서 외부에 노출된 자산을 지속적으로 식별함으로써 해결한다. FortiCloud SSO 인증 우회 취약점 사례에서 ASM 기반 접근 방식은 보안 팀이 Fortinet 관리 인터페이스와 SSO 관련 엔드포인트가 인터넷을 통해 실제로 접근 가능한지 여부를 검증하고, 노출 조건을 알려진 취약점과 연계하며, 가정이 아닌 실제 노출 수준에 기반해 대응 우선순위를 설정할 수 있도록 지원한다.
Fortinet 엣지 인프라와 관련된 핵심 ASM 역량
FortiCloud SSO 인증 우회와 같은 사고에서 공격자들은 취약점 자체에만 의존하지 않았다. 대신, 외부에 노출된 관리 인터페이스와 취약점 공개 이후에도 지속된 설정 오류에 집중해 공격을 전개했다. 다음의 네 가지 ASM(Attack Surface Management) 핵심 역량은 Fortinet 관련 위험을 완화하는 데 특히 중요하다.
- 신규 노출 자산의 지속적 탐지
- 새롭게 노출되거나 변경된 Fortinet 자산을 자동으로 식별함으로써, 설정 변경이나 운영 과정에서 인터넷 접근 가능 상태로 전환된 관리 인터페이스를 보안 팀이 신속하게 인지할 수 있도록 한다.
- 노출된 관리 인터페이스 식별
- 외부에서 접근 가능한 Fortinet 관리자 GUI, VPN 포털, SSO 관련 엔드포인트를 초기 침투에 가장 먼저 악용될 가능성이 높은 고위험 진입 지점으로 식별한다.
- 외부 노출과 알려진 취약점 간의 연계 분석
- 외부에 노출된 Fortinet 자산을 관련 CVE와 연계해 분석함으로써, 이론적인 심각도에 의존하는 대신 실제 악용 가능성에 기반해 대응 우선순위를 설정할 수 있도록 한다.
- 대응 조치의 실효성 검증
- 패치 적용이나 설정 변경 이후, ASM은 외부 노출이 실제로 감소했는지 여부를 검증해 관리 인터페이스가 공격자에게 다시 노출되지 않도록 지속적인 확인을 가능하게 한다.
FAQ
Q1. FortiCloud SSO는 기본적으로 비활성화되어 있는데, 왜 여전히 이 취약점이 악용되고 있나요?
FortiCloud SSO는 공장 초기 설정에서는 비활성화되어 있지만, 실제 운영 환경은 기본 설정과 다른 경우가 많습니다. FortiCare 등록 과정이나 일상적인 관리자 작업 중, 관리자가 해당 옵션을 명시적으로 비활성화하지 않을 경우 FortiCloud SSO 로그인 기능이 의도치 않게 활성화될 수 있습니다.
그 결과, 관리 인터페이스가 외부에 노출된 상태라면 많은 조직이 인지하지 못한 채 공격에 악용될 수 있는 조건을 이미 충족하게 됩니다.
Q2. 공식 패치를 적용한 이후에도 ASM이 필요한가요?
그렇습니다. 패치는 본질적으로 사후 대응적 이며, 특정 시점에 알려진 취약점만을 해결합니다. 반면 공격 표면 관리는 외부 노출에 대한 지속적인 가시성을 제공해 운영 과정에서 발생하는 설정 변경(Configuration Drift)을 탐지하고, 유지보수 작업이나 환경 변경, 혹은 향후 발생할 수 있는 제로데이 취약점으로 인해 관리 인터페이스가 다시 외부에 노출되지 않았는지를 지속적으로 확인할 수 있도록 합니다.
결론
FortiCloud SSO 인증 우회 취약점(CVE-2025-59718/CVE-2025-59719)은 현대 사이버 보안이 단순한 패치 관리만으로는 충분하지 않다는 점을 명확히 보여주는 사례다. 치명적인 소프트웨어 결함과 의도치 않은 외부 노출이 결합되는 순간, 공격자들이 즉시 노리는 고위험 환경이 만들어진다.
공격 표면 관리(ASM) 기반 방어 전략으로 전환함으로써, 조직은 공격자가 발견하기 전에 관리되지 않은 인터페이스를 식별하고 설정 오류를 사전에 대응할 수 있는 가시성을 확보할 수 있다. 이제 네트워크 엣지를 보호하는 일은 단순히 방화벽의 강도에 달려 있지 않다. 그 엣지가 정확히 어디에 존재하는지 파악하고, 불필요하게 노출되지 않도록 관리하는 것이 핵심이다.
관련하여 아사히 GHD 랜섬웨어 침해 사건: VPN 악용 사례 및 ASM 기반 예방 전략 글을 참고할 수 있다.
아래 버튼을 통해 데모를 요청하면 외부 노출 현황을 직접 확인하고 공격 표면 관리(ASM) 데모를 확인할 수 있다.

이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처: Criminal IP (https://www.criminalip.io/ko), BLEEPINGCOMPUTER (https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-forticloud-sso-login-auth-bypass-flaws/)
