포티넷, 초고위험도 취약점 패치하며 “실제 공격 발생” 경고

보안 업체 포티넷(Fortinet)이 자사 제품에서 발견된 초고위험도 취약점을 패치하며, 고객들에게 “시급히 적용할 것”을 촉구하고 있다. 이 취약점은 CVE-2025-25256이며, CVSS 기준 10점 만점에 9.8점을 기록하고 있다. 초고위험도 취약점 중에서도 상위에 속한다는 의미다.

포티넷에 따르면 이 취약점을 익스플로잇 하는 데 성공한 공격자는 포티시엠(FortiSIEM)에서 임의 OS 명령을 실행할 수 있게 된다고 한다. “악의적으로 CLI 요청을 조작함으로써 공격자가 원하는 코드나 명령을 실행할 수 있게 됩니다. 이미 실제 공격이 이뤄지고 있기도 합니다.” 다만 포티넷은 이 ‘실제 공격’에 대해서는 구체적으로 설명하지 않고 있다. 침해지표도 공개되지 않았다.

해당 취약점이 발견된 포티넷 제품과 버전들은 다음과 같다.
1) 포티시엠 6.1, 6.2, 6.3, 6.4, 6.5, 6.6 : 위험 완화책 적용 요망
2) 포티시엠 6.7.0~6.7.9 : 6.7.10 이상 버전으로 업그레이드 요망
3) 포티시엠 7.0.0~7.0.3 : 7.0.4 이상 버전으로 업그레이드 요망
4) 포티시엠 7.1.0~7.1.7 : 7.1.8 이상 버전으로 업그레이드 요망
5) 포티시엠 7.2.0~7.2.5 : 7.2.6 이상 버전으로 업그레이드 요망
6) 포티시엠 7.3.0~7.3.1 : 7.3.2 이상 버전으로 업그레이드 요망

취약점 패치 적용이 불가한 상황이라면 어떻게 해야 할까? 포티넷은 ph모니터(phMonitor) 포트인 7900에 대한 접근을 제한해야 한다고 권고한다. 하지만 이는 임시 대응책일 뿐이고, 언젠가는 안전한 버전으로 업그레이드를 하는 게 안전하다. 

포티시엠, 한국에서의 인기는?
포티시엠이 한국 기업들 사이에서 얼마나 사용되고 있는지는 정확히 알 수 없다. 포티넷코리아 측은 4년 전인 2021년 “포티시엠이 SIEM 부문에서 가트너 매직 쿼드런트 비저너리로 선정됐다”고 발표한 바 있고, 한국 시장 내에서 활동하는 주요 보안 회사들도 포티넷 제품(포티시엠 포함)에 대한 취약점 및 패치 소식을 꾸준히 다루고 있는 것으로 미루어 적잖은 인기를 누리고 있는 것으로 추정할 수 있다.

현재까지 포티시엠이 연루된 보안 사고가 대대적으로 터진 적은 없다. 그렇다고 포티시엠이 완전무결한 제품인 것은 아니다. 적잖은 취약점들이 발견되어 왔기 때문이다. 그 중 심각한 것도 상당수 있는데, 그럼에도 보안 사고가 없었다는 건 포티넷 측에서 패치를 부지런히 하고 있다는 의미로 해석할 수 있다.

여태껏 포티시엠에서 발견된 주요 취약점들은 다음과 같다.
1) CVE-2023-36553 : 원격 명령 주입 공격을 가능케 하는 CVSS 9.8점짜리 취약점
2) CVE-2023-34992, CVE-2024-23108, CVE-2024-23109 : 원격 명령 실행 공격을 가능케 취약점으로, 일부 국가들의 경우 정부 기관에서 따로 경고문을 발표하기도 했었다.
3) CWE-20 : 포티시엠 6.x 이하 버전에서 발견된 민감 정보 노출 취약점으로, 최신 버전에서는 발견되지 않는다.

취약점, 나온 게 아니라 숨기는 게 문제
보안 솔루션에서 취약점이 나왔다는 것만 들으면 그 업체에 문제가 있는 것처럼 느껴진다. 하지만 그렇지 않다. 아무런 취약점이 없는 솔루션이라는 게 실질적으로 존재할 수 없기 때문이다. 어떤 솔루션이나 OS든 공격자들은 반드시 구멍을 찾아내고, 어떻게든 악용하려 한다. 

그래서 중요한 건 취약점 정보를 빠르게 공유하고 패치를 최대한 빠르게 개발해 배포하는 것이다. 문제 발생 가능성을 0으로 만들 수 없으니, 피해 확산을 늦추는 방향으로 노선을 잡는 게 보다 실용적이라는 의미다. 실제 미국 빅테크들을 필두로 여러 보안 기업들은 이미 “취약점이 나왔다”는 사실을 덮으려 애쓰지 않는다. 오히려 고객들에게 적극 알리고 패치 적용 시기를 앞당기려 한다.

이는 비단 ‘취약점 있는 제품 개발사’만이 아니라 각종 보안 사고를 겪은 기업들이 취해야 할 태도이기도 하다. 어떤 공격자들이 어떤 전략으로 어떤 자산을 노렸는지, 그 공격자들이 다른 기업이나 기관도 노릴 확률이 얼마나 되는 것으로 보이는지 등을 적극 공유하면 할수록 대처가 빨라지고 심지어 추가 피해 예방까지 이어질 수 있다. 보안 사고는 더 이상 개개인 혹은 개별 기업들이 독립적으로 대처할 수 있는 게 아니다. 사회 전체적인 움직임이 필요하다.

Related Materials

• Fortinet Warns About FortiSIEM Vulnerability (CVE-2025-25256) — 실질적 공격 코드 발견, 중요 SIEM 서비스 대상 RCE 취약점 상세 - The Hacker News, 2025년
• Fortinet warns about FortiSIEM vulnerability with in-the-wild exploit code (CVE-2025-25256) — 취약 버전 및 권고 패치, phMonitor 포트 보안 가이드 - Help Net Security, 2025년
• FortiSIEM exploited in the wild via OS command injection, Fortinet confirms — 국내외 기관 공격 사례, RCE 구조 및 IOC 파악 포인트 - SC World, 2025년
• Fortinet SIEM issue coincides with spike in brute-force, CVE-2025-25256 — 취약점 폭로 전후 공격자 활동·네트워크 이상 탐지 보고서 - CyberScoop, 2025년

포티넷 ‘포티웹’서 9.6점 치명적 취약점 발견

💡Editor Pick - 공격자가 인증 없이 악의적인 SQL 코드를 주입 - 시스템 내 파일 생성, 데이터 유출 등 다양한 공격 가능 - CVSS 기준 9.6점 최대 등급 매우 위험한 수준 포티넷(Fortinet)이 웹 애플리케이션 방화벽 솔루션 ‘포티웹(FortiWeb)’에서 발견된 SQL 인젝션 취약점(CVE-2025-25257)에 대한 긴급 보안

The Tech EdgeCheifEditor

취약점 PoC, 공개해야 하나 말아야 하나

💡Editor’s Pick - 파일 전송 솔루션 윙FTP서버에서 10점짜리 취약점 발견됨 - 이 취약점 익스플로잇 하면 원격에서 서버 통째로 장악 가능 - 잠잠했다가 PoC 공개된 이후부터 익스플로잇 시도 극성 파일 전송 기술인 윙FTP서버(Wing FTP Server)에서 초고위험도 취약점이 발견됐다. CVE-2025-47812로, CVSS 기준 10점 만점에 10점을 받았다. 익스플로잇에 성공할 경우 공격자는

The Tech EdgeJustAnotherEditor