Fortinet FortiSIEM 취약점 CVE-2025-64155 긴급 보안 패치 필수

3줄 요약

• Fortinet FortiSIEM의 CVE-2025-64155 취약점이 실제 공격에 악용 중이며, 인증 없이 원격 코드 실행 가능
• VoidLink 리눅스 멀웨어와 RedVDS 범죄 서비스가 클라우드 환경과 피싱 공격에 악용됨
• Microsoft Copilot의 Reprompt 공격과 AWS CodeBuild 설정 오류로 공급망 보안 위협 증가

📌 주요 내용

CVE-2025-64155: Fortinet FortiSIEM 치명적 보안 결함 발견

사이버보안 환경에서 일상적인 업데이트와 심각한 보안 사고 사이의 경계가 점점 더 모호해지고 있습니다. 이번 주 가장 중요한 위협은 Fortinet FortiSIEM의 CVE-2025-64155 취약점으로, 실제 공격에서 활발히 악용되고 있습니다.

이 취약점은 CVSS 점수 9.4점의 치명적 보안 결함으로, 인증되지 않은 공격자가 특수하게 제작된 TCP 요청을 통해 무단 코드나 명령을 실행할 수 있습니다. Horizon3.ai의 기술 분석에 따르면, 이 문제는 두 가지 취약점으로 구성되어 있습니다.

첫째는 인증되지 않은 인수 주입 취약점으로, 임의 파일 쓰기로 이어져 admin 사용자로 원격 코드 실행이 가능합니다. 둘째는 파일 덮어쓰기 권한 상승 취약점으로, root 접근 권한을 획득하여 시스템을 완전히 장악할 수 있습니다.

이 취약점은 FortiSIEM의 내부 구성 요소인 phMonitor 서비스에 영향을 미치며, 이 서비스는 높은 권한으로 실행되고 시스템 상태 및 모니터링에 핵심적인 역할을 합니다. 서비스가 FortiSIEM의 운영 워크플로에 깊이 통합되어 있어, 성공적인 공격은 공격자에게 시스템의 완전한 제어권을 부여합니다.

VoidLink 리눅스 멀웨어의 고도화된 클라우드 공격

VoidLink라는 이름의 새로운 클라우드 네이티브 리눅스 멀웨어 프레임워크가 발견되었습니다. 이 멀웨어는 클라우드 환경에 초점을 맞추고 있으며, 맞춤형 로더, 임플란트, 루트킷, 플러그인 등 다양한 공격 도구를 제공합니다.

VoidLink의 특징은 단기 파괴보다는 장기 접근, 감시, 데이터 수집을 위해 설계되었다는 점입니다. 중국어로 현지화된 웹 기반 대시보드를 통해 에이전트, 임플란트, 플러그인을 제어할 수 있습니다.

이 멀웨어의 핵심 아키텍처는 “가능한 한 많은 회피를 자동화”하는 것입니다. 리눅스 환경을 프로파일링하고 탐지 없이 작동하기 위한 최상의 전략을 지능적으로 선택합니다. 멀웨어 분석이나 변조 징후가 감지되면 자체 삭제하고 활동 흔적을 제거하는 포렌식 방지 모듈을 호출합니다.

Check Point는 “VoidLink는 클라우드 환경을 넘어 개발자 및 관리자 워크스테이션까지 확장되는 기능을 갖추고 있어, 손상된 모든 머신을 더 깊은 접근이나 공급망 침해를 위한 유연한 발판으로 전환할 수 있다”고 밝혔습니다.

Microsoft의 RedVDS 범죄 서비스 차단 조치

Microsoft는 미국 및 영국의 법률 파트너와 협력하여 수백만 달러의 손실을 초래한 사이버 범죄 구독 서비스 RedVDS를 차단했습니다. 이 플랫폼은 피싱 및 사기 캠페인을 위한 범죄 서비스형 도구를 호스팅했으며, 월 24달러의 저렴한 비용으로 이용 가능했습니다.

Microsoft는 RedVDS의 웹사이트와 인프라를 압수했으며, 이 서비스는 2025년 3월 이후 미국에서만 4천만 달러 이상의 피해를 입힌 것으로 확인되었습니다. 전 세계적으로 약 190,000개 조직이 RedVDS 지원 캠페인의 피해자가 되었습니다.

한 달 동안 약 2,600개의 RedVDS 가상 머신이 매일 평균 100만 개의 피싱 메시지를 Microsoft 고객에게 전송했습니다. RedVDS는 사이버 범죄자들에게 Windows를 포함한 무단 소프트웨어를 실행하는 저렴하고 효과적이며 일회용 가상 컴퓨터에 대한 접근을 제공했습니다.

Microsoft Copilot의 Reprompt 공격 취약점

보안 연구원들이 Microsoft Copilot에서 Reprompt라는 새로운 공격을 발견했습니다. 이 공격은 피해자가 AI 챗봇을 가리키는 특수하게 제작된 링크를 클릭하면 사용자 데이터를 빼낼 수 있습니다.

이 공격은 데이터 유출 방지 기능을 우회하며, Copilot 세션이 종료된 후에도 지속적인 세션 유출을 허용합니다. 공격은 Parameter 2 Prompt (P2P) 주입(“q” 매개변수 악용), 이중 요청 기술, 체인 요청 기술의 조합을 활용하여 데이터 유출 기능을 구현합니다.

Varonis는 “클라이언트 측 모니터링 도구는 이러한 악의적인 프롬프트를 감지하지 못합니다. 실제 데이터 유출은 사용자가 제출하는 프롬프트의 명백한 내용이 아니라 양방향 통신 중에 동적으로 발생하기 때문”이라고 설명했습니다.

이 공격은 Microsoft 365 Copilot을 사용하는 기업 고객에게는 영향을 미치지 않으며, Microsoft는 이미 이 문제를 해결했습니다.

AWS CodeBuild 설정 오류로 인한 공급망 위험

Amazon Web Services (AWS) CodeBuild의 치명적인 설정 오류가 AWS 자체의 GitHub 리포지토리를 완전히 장악할 수 있게 했으며, AWS JavaScript SDK를 포함한 모든 AWS 환경을 위험에 빠뜨렸습니다.

CodeBreach로 명명된 이 취약점은 AWS가 2025년 9월에 수정했습니다. Wiz는 “CodeBreach를 악용함으로써 공격자는 악의적인 코드를 주입하여 플랫폼 전체의 침해를 시작할 수 있었으며, 이는 SDK에 의존하는 수많은 애플리케이션뿐만 아니라 콘솔 자체에 영향을 미쳐 모든 AWS 계정을 위협할 수 있었다”고 밝혔습니다.

👨‍💻 개발자에게 미치는 영향

즉각적인 보안 패치 적용 필요

개발자와 보안 팀은 Fortinet FortiSIEM을 사용하는 경우 CVE-2025-64155에 대한 보안 패치를 즉시 적용해야 합니다. 이 취약점은 이미 실제 공격에 악용되고 있으며, phMonitor 서비스의 권한 수준을 고려할 때 시스템 전체가 위험에 노출될 수 있습니다.

클라우드 보안 강화 전략

VoidLink와 같은 고도화된 멀웨어는 클라우드 환경을 특별히 표적으로 삼고 있습니다. 개발자는 리눅스 기반 클라우드 인프라에 대한 모니터링을 강화하고, 의심스러운 프로세스나 네트워크 활동을 실시간으로 탐지할 수 있는 시스템을 구축해야 합니다.

AI 도구 사용 시 주의사항

Microsoft Copilot의 Reprompt 공격은 AI 기반 개발 도구에도 보안 취약점이 존재함을 보여줍니다. 개발자는 AI 도구를 사용할 때 민감한 데이터를 입력하기 전에 신중하게 검토하고, 의심스러운 링크나 프롬프트를 클릭하지 않도록 주의해야 합니다.

공급망 보안 점검

AWS CodeBuild의 설정 오류 사례는 클라우드 서비스 구성의 중요성을 강조합니다. 개발자는 CI/CD 파이프라인의 권한 설정을 정기적으로 검토하고, 최소 권한 원칙을 철저히 적용해야 합니다.

원문 기사 보기