원격 근무자 디바이스 라우터 노려, 자격 증명, 엑세스 권한 탈취
中 정부 및 중국 연계 국가 후원 ‘Androxgh0st’, ‘볼트 타이푼 봇넷’ 등
[애플경제 전윤미 기자] 미국에선 지난 달부터 최근까지 중국 발 악성 봇넷 공격이 극성을 부리고 있다. 이들은 일반 기업체의 오피스 라우터를 표적으로 삼아, 해당 네트워크를 감염시켜 장악하는 수법을 쓰고 있다. 문제는 이런 악성 봇넷이 미국 뿐 아니라, 우리나라를 포함한 서방 각국에도 점차 공격의 마수를 넓혀가고 있다는 점이다.
미 FBI는 5일 “기업들의 홈 오피스 사이버 보안이 허술한 틈을 타 공격을 퍼붓는 중국 발 악성 봇넷이 활개치고 있다”고 경고했다. '테크리퍼블릭', '사이버린트' 등에 따르면 이미 지난달부터 클라우드 자격 증명을 표적으로 삼는 봇넷인 중국발 ‘Androxgh0st’이 극성을 부린데 이어, 또 다른 ‘볼트 타이푼’(Volt Typhoon) 봇넷이 공격을 퍼붓고 있다.
미 FBI ‘기업 원격 근무자 하드웨어 보안 경계령’
‘볼트 타이푼’ 봇넷은 중국 정부의 지원을 받는 공격자 집단인 ‘볼트 타이푼’이 만든 봇넷이다. 이들 봇넷은 중국과 연계된 국가들의 후원을 받는 해커들이 만든 것으로, 미국과 서방국가의 소규모 사무실이나 홈 오피스 라우터를 표적으로 삼아 광범위한 공격을 가하고 있다. 이번에 표적이 되어 공격을 받은 라우터의 대부분은 시스코사에서 제조한 것이다.
미 보안당국은 1월 31일에 공격을 가한 해당 악성코드를 라우터에서 삭제하거나, 봇넷에 사용되는 다른 장치에서 라우터를 차단하는 등의 대응책에 나섰다. 또 “낡은 기술을 사용하는 기업의 원격 작업자가 특히 취약한 만큼, IT 팀은 이를 감안해 사이버 보안 위험을 줄이는 방법을 알아야 한다”고 권했다.
통신, 에너지, 운송 및 수자원 분야에 침입
앞서 미 FBI는 지난해 5월부터 중요 인프라 조직을 대상으로 한 사이버 공격 사례를 조사해왔다. 금년 1월 31일, FBI는 지난해 12월과 동일한 위협 공격자 그룹에 대한 조사 결과 중국 정부의 후원을 받는 공격자가 미국 전역의 수백 대의 개인 소유 라우터를 사용, 봇넷을 만든 것으로 나타났다고 밝혔다. 또 “이번 공격은 국가 간 갈등이 발생할 경우 미국의 중요한 기능을 방해하기 위해 통신, 에너지, 운송 및 수자원 분야에 침입하려는 시도였다”고 덧붙였다.
특히 클라우드 자격 증명을 표적으로 삼는 봇넷인 ‘Androxgh0st’도 주시하고 있다. ‘Androxgh0st’ 악성 코드 봇넷은 공격 대상 네트워크에서 엑세스 식별법을 악용하거나, 자격 증명을 수집하기도 한다. 그래서 미 보안당국은 공동 권고를 통해 ‘Androxgh0st’ 악성 코드를 사용하는 봇넷을 배포하는 위협 행위자에 대한 경고를 지속하고 있다.
이번 공격에서 해커들은 표적으로 삼은 장치가 겉보기엔 정상적으로 작동되는 것처럼 보이기 위한 독특한 기술을 구사했다. 특히 AWS나 마이크로소프트 애저(Azure) 등의 클라우드 자격 증명을 수집하고 메일 전송 프로토콜을 악용하거나, 이메일 매개 변수를 검색하기도 한다.
‘Androxgh0st’ 악성 코드는 클라우드 보안 회사인 레이스워크(Lacework)에 의해 지난 2022년 12월에 처음 발견된 것이다. 파이썬으로 작성된 프라이머리 인터페이스(PRI)다.
AWS나 MS 애저 등의 클라우드 자격 증명 수집
특히 이번에 표적이 된 라우터는 대부분 원격 작업자 개인 소유로 알려졌다. 이는 IT팀과 전문가들이 원격 작업자를 안전하게 보호하는데 한계에 부딪히게 한다. 회사의 IT보안팀이 개인의 집에서 사용하는 라우터까지 감독하지는 않는다. 그 때문에 집에선 오래되었거나 수명이 다한 라우터를 사용하고 있는지 여부를 알기가 어렵다. 악성 봇넷의 공격에 취약할 수 밖에 없는 이유다. FBI도 “이번 공격으로 장비가 영향을 받은 모든 사람에게 연락하고 있지만, 특정 조직의 직원을 대상으로 삼았는지 여부는 확인되지 않았다”고 한다.
한편 봇넷은 분산형 서비스 거부 공격을 시작하거나, 맬웨어를 배포하는 데 주로 사용된다. 전문가들은 “이점부터 감안해 방어를 하는게 봇넷 공격에 대한 완전한 방어의 시작”이라고 했다.
“정기 보안 검사, 다단계 인증 필수”
봇넷은 보통 중앙 집중식 명령․제어 서버에 의해 주도된다. 그러므로 수명이 다한 장치는 특히 취약하므로 소프트웨어와 하드웨어를 최신 상태로 유지해야 한. 봇넷 공격에 사용되지 않도록 장치를 강화하려면 정기적인 보안 검사를 실행하고 다단계 인증을 실시하며 직원들이 사이버 보안 모범 사례에 대한 정보를 지속적으로 공유해야 한다.
보안업체인 파로레이(Panorays)의 한 전문가는 “기존 사무실을 넘어서 자산에 대한 철저한 기술 인벤토리를 사전에 수행하는 것이 필수적”이라며 “이런 접근 방식은 오래된 기술을 식별하고 원격 작업자가 최신의 안전한 장비를 갖도록 보장해준다”고 ‘테크리퍼블릭’에 밝혔다. 그는 또 “원격 근무는 잠재적인 취약점을 야기하지만, 사무실 환경에서도 유사한 공격이 발생할 수 있다는 점을 염두에 둬야 한다”고 주의를 당부했다.