AWS는 AI 강화 공격이 600개 이상의 FortiGate 방화벽을 침해했다고 보고합니다.

AWS 사고 보고서의 공격 세부 사항

AWS 보안 팀은 2026년 1월 중순부터 2월 중순까지 러시아어를 사용하는 사이버 범죄자들이 55개국에서 600개 이상의 FortiGate 방화벽을 침해한 캠페인을 문서화했습니다. 공격자들은 상용 생성형 AI 도구를 사용해 공격 플레이북, 스크립트, 운영 노트를 생성했으며, 이로 인해 상대적으로 낮은 기술 수준의 그룹이 일반적으로 더 많은 자원이 필요한 작업을 실행할 수 있었습니다.

공격 방법론

이 캠페인은 공용 인터넷에 노출된 FortiGate 관리 인터페이스를 스캔하는 데 중점을 두었습니다. 공격자들은 흔히 재사용되거나 취약한 자격 증명을 시도했습니다. 내부에 침입한 후, 그들은 다음을 포함하는 구성 파일을 추출했습니다:

• 관리자 및 VPN 자격 증명
• 네트워크 토폴로지 세부 정보
• 방화벽 규칙

거기서부터 그들은 환경 깊숙이 이동하여 Active Directory를 대상으로 삼고, 자격 증명을 덤프하며, 측면 이동 기회를 탐색했습니다. Veeam 서버를 포함한 백업 시스템도 표적이 되었습니다.

AI 도구 특성

AWS는 AI 생성 도구가 기능적이지만 다듬어지지 않았으며, 단순한 파싱 로직과 기계 생성 코드를 시사하는 중복된 주석이 있다고 관찰했습니다. 이 도구들은 가끔 스크립팅에만 사용되는 것이 아니라 전체 워크플로우에 내장되어 있었습니다. Amazon의 CISO인 CJ Moses는 다음과 같이 언급했습니다: "맞춤형 도구의 양과 다양성은 일반적으로 자원이 풍부한 개발 팀을 나타냅니다. 대신, 단일 행위자 또는 매우 작은 그룹이 AI 지원 개발을 통해 이 전체 도구 키트를 생성했습니다."

공격 패턴 및 방어

공격자들은 저항하는 표적을 포기하고 더 쉬운 표적으로 이동하는 경향이 있었으며, 정교함보다는 양을 강조했습니다. 활동은 유럽, 아시아, 아프리카, 라틴 아메리카 전역의 피해자를 대상으로 하여 긴밀하게 표적화된 것이 아니라 지리적으로 기회주의적이었습니다. 일부 침해는 관리 서비스 제공업체나 더 큰 공유 환경에 대한 접근을 가능하게 하여 하류 위험을 증폭시켰을 수 있습니다.

AWS는 기본적인 보안 위생이 대부분의 침해를 방지했을 것이라고 강조했습니다:

• 관리 인터페이스를 공용 인터넷에서 차단하세요
• 다중 인증을 시행하세요
• 암호 재사용을 피하세요

이러한 결과는 Google의 최근 경고에 이어집니다. Google은 범죄자들이 정찰, 표적 프로파일링, 피싱, 맬웨어 개발을 위해 Gemini AI를 사용하는 것을 포함하여 생성형 AI를 직접 운영에 통합하는 경우가 점점 더 많아지고 있다고 경고했습니다.