
최근 Fortinet의 FortiClient EMS에서 발견된 취약점 CVE-2026-35616이 실제 공격에 활용되고 있는 정황이 공개되었다. 해당 취약점은 EMS 서버의 요청 처리 로직에서 발생하는 보안 문제로, 인증 절차 없이 악용될 경우 원격 코드 실행(RCE) 또는 시스템 장악으로 이어질 수 있다. 이번 이슈는 단순 취약점 공지 수준을 넘어, 이미 공격 시도가 확인되고 있으며 외부에 노출된 자산이 상당수 존재한다는 점에서 공격 표면 관점에서의 위험성이 강조된다.
본 글에서는 CVE-2026-35616의 기술적 특징과 예상 공격 흐름을 정리하고, Criminal IP를 통해 확인된 외부 노출 FortiClient EMS 자산이 실제 공격 가능 상태와 어떻게 연결되는지 살펴본다.
FortiClient EMS 취약점 개요
| 취약점 ID | CVE-2026-35616 |
| 영향 제품 | FortiClient EMS |
| 취약점 유형 | 인증 우회 / 원격 코드 실행 |
| CVSS 점수 | Critical (공격 악용 확인) |
| 공격 조건 | 인증 불필요 (Pre-auth 가능) |
| 영향 범위 | 외부 노출 EMS 서버 |
FortiClient EMS는 조직 내 단말 보안 정책을 중앙에서 관리하는 서버로, 클라이언트 배포와 업데이트, 접근 제어 등의 핵심 기능을 담당한다. 이와 같은 특성 때문에 EMS 서버가 침해될 경우 단일 시스템 문제를 넘어, 조직 전체 엔드포인트 환경에 영향을 미칠 수 있다.
공격 흐름 분석

공격자는 우선 인터넷에 노출된 FortiClient EMS 서버를 탐색하는 단계부터 시작한다. EMS는 웹 기반 관리 인터페이스를 제공하기 때문에, 일반적인 서비스 식별이나 포트 스캐닝만으로도 비교적 쉽게 존재 여부를 확인할 수 있다. 이후 취약한 엔드포인트를 대상으로 조작된 요청을 전달하면, 서버는 이를 정상 요청으로 처리하게 되며 인증 절차를 우회한 상태에서 코드 실행이 가능해진다. 이 과정은 사용자 개입 없이 이루어지며, 단일 요청만으로 초기 침투가 성립할 수 있다. 침투 이후에는 웹쉘 설치, 내부 네트워크 접근, 추가 권한 확보 등의 후속 공격이 이어질 수 있으며, EMS의 역할 특성상 이러한 공격은 조직 내부 전반으로 확산될 가능성이 높다.
Criminal IP로 관측된 외부 노출 FortiClient EMS 자산
이번 분석에서는 FortiClient EMS 웹 인터페이스를 식별하기 위해 favicon 기반 탐지 방식을 활용하였다.
Criminal IP 검색 쿼리: favicon: -2fb77099

해당 favicon 값은 FortiClient EMS에서 사용되는 웹 아이콘을 기준으로 도출된 식별자로, 동일한 관리 UI를 사용하는 자산을 선별하는 데 활용된다.
2026년 4월 17일 기준, 탐지 결과 약 500건 이상의 FortiClient EMS 관련 자산이 인터넷에 노출된 상태로 확인되었으며, 일부는 HTTPS를 통해 외부에서 직접 접근이 가능한 상태였다. 이러한 자산은 로그인 페이지를 제공하고 있음에도 불구하고, 취약점 특성상 인증 이전 단계에서 공격이 가능하다는 점에서 실질적인 위험이 존재한다. 이는 단순한 서비스 노출을 넘어, 공격자가 즉시 활용할 수 있는 관리 시스템이 외부에 그대로 드러나 있는 상황으로 볼 수 있다.

Criminal IP를 통해 확인된 특정 자산을 살펴보면, 단일 포트 노출 수준을 넘어서 다양한 서비스와 웹 인터페이스가 동시에 외부에 공개된 형태를 보인다. 해당 자산은 HTTPS 기반 접근이 가능하며, 배너 및 응답 데이터를 통해 관리 기능을 포함한 웹 인터페이스가 노출되어 있을 가능성이 확인된다. 또한 다양한 메타데이터가 함께 수집되는 점은 해당 시스템이 단순 테스트 환경이 아닌 실제 운영 중인 서버일 가능성을 시사한다. 이러한 환경에서는 공격자가 서비스 종류를 식별하고 버전을 추정한 뒤, 추가적인 공격 경로를 단계적으로 확장할 수 있다.
특히 FortiClient EMS와 같은 관리 시스템이 유사한 방식으로 외부에 노출될 경우, 인증 이전 취약점과 결합되어 매우 낮은 난이도로 초기 침투가 가능해지며, 이는 곧 전체 보안 환경에 영향을 미치는 공격으로 이어질 수 있다.
대응 방안 및 권고 사항
우선적으로 Fortinet에서 제공하는 최신 보안 패치를 신속하게 적용하는 것이 필요하다. 취약한 상태가 유지될 경우 외부 노출 환경에서는 공격 대상이 될 가능성이 높다. 이와 함께 EMS 서버가 외부에서 접근 가능한 상태인지 점검하고, 필요하지 않은 경우 접근을 차단하거나 내부망 또는 VPN을 통해서만 접근하도록 제한해야 한다. 또한 서버 로그를 기반으로 비정상 요청이나 의심스러운 행위를 지속적으로 모니터링하는 것이 중요하다.
취약점 대응은 단순히 버전을 업데이트하는 것에 그치지 않고, 해당 자산이 실제 공격 표면으로 노출되어 있는지까지 함께 확인하는 과정이 병행되어야 한다.
FAQ
Q1. 로그인 페이지가 존재하면 안전한 것 아닌가요?
로그인 인터페이스가 존재하더라도, 해당 취약점은 인증 이전 단계에서 악용될 수 있기 때문에 보호 장치로 작동하지 않을 수 있다. 따라서 외부 노출 여부 자체가 더 중요한 기준이 됩니다.
Q2. EMS 서버는 내부 시스템인데 왜 외부 노출이 발생하나요?
운영 편의성, 원격 관리 필요성, 또는 설정 오류로 인해 관리 서버가 외부에 공개되는 사례가 빈번하게 발생한다. 이러한 환경에서는 의도하지 않게 공격 표면이 확장됩니다.
결론
CVE-2026-35616은 FortiClient EMS에서 발생한 취약점이지만, 본질적으로는 외부에 노출된 관리 시스템이 어떻게 실제 공격 경로로 전환되는지를 보여주는 사례에 가깝다. 약 500건 이상의 EMS 자산이 인터넷에 노출된 상황에서, 취약점 악용은 단순 가능성을 넘어 현실적인 위협으로 이어질 수 있다. 특히 인증 이전 단계에서 공격이 가능한 구조는 기존 방어 체계를 우회하는 데 매우 유리하게 작용한다.
따라서 이번 이슈의 핵심은 취약점 패치 적용에만 머무르지 않는다. 외부에 노출된 자산을 식별하고, 실제 공격 가능성을 기준으로 대응 우선순위를 설정하는 것이 중요하다. Criminal IP를 활용하면 이러한 과정을 보다 효율적으로 수행할 수 있으며, 실질적인 보안 대응 체계 구축에 기여할 수 있다.
관련하여 CVE-2026-34197: Apache ActiveMQ RCE 취약점 분석 글을 참고할 수 있다.
Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.

이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
출처: Criminal IP(https://www.criminalip.io/ko), The Hacker News(https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html), Bleeping Computer(https://www.bleepingcomputer.com/news/security/new-fortinet-forticlient-ems-flaw-cve-2026-35616-exploited-in-attacks/)
관련 글: https://testweb.criminalip.io/ko/knowledge-hub/blog/33931
