가정과 소규모 오피스에서 사용하는 IT 기기와 네트워크 스토리지 50만대를 동원한 파괴적이 공격 시도가 감지됐다.
시스코의 보안 위협 분석 조직인 탈로스는 블로그를 통해 ‘VPN 필터 멀웨어’의 위험성을 경고하며 “인터넷에 연결된 대량의 시스템이 감염됐기 때문에 이번 공격은 막기 어렵다”고 경고했다.
시스코 블로그에서는 “산업용 제어 시스템 관련 정보를 수집하거나 동시다발적인 대량의 공격을 수행할 수 있다. 이 공격은 정부 차원의 후원을 받는 사이버 공격으로 추정하고 있으며, 탈로스가 발견한 것 중 가장 큰 규모”라고 소개했다.
민감정보 수집·대량의 파괴적 공격 수행 예상
감염 대상은 링크시스, 마이크로틱, 넷기어, 티피링크 가정용 라우터와 큐냅 등이다. 엔터프라이즈 라우터, 엔터프라이즈급 벤더의 제품 등은 이번 공격받은 제품에 해당하지 않는다. 전 세계 54개국에서 감염된 디바이스가 발견됐으며, 우크라이나의 디바이스가 가장 심각하게 감염된 것으로 나타났다.
공격자들은 감염된 디바이스를 이용해 더 큰 규모의 공격을 감행할 것으로 추정되며, 여러 가지의 다른 형태의 공격이 예상된다. 개별 디바이스들도 데이터 도용의 위험이 있으며, 디바이스의 작동 불능 가능성도 있다. 때문에 신속하게 디바이스의 패치를 업데이트 해야 한다.
탈로스는 이번 공격이 스니퍼를 설치해서 산업용 제어시스템 관련 정보를 수집할 수 있다는 것을 발견했다. 산업용 제어시스템은 발전소 등을 관리하는 컴퓨터 시스템이다. 공격자들은 익명의 디바이스 네트워크인 토르(TOR)와 유사한 자체 프라이빗 네트워크를 만들었으며, 이를 통해 데이터를 공유하고 동시다발적인 대량의 공격을 수행할 수 있다고 밝혔다.
공격자들은 모든 감염된 장치들을 불능화할 수 있는 기능을 포함하고 있으며, 그들의 흔적을 감추고 수십만 건의 인터넷 접근을 제거할 수 있다.
멀웨어 차단 기능 없는 디바이스 50만대 감염
탈로스는 대부분의 감염된 디바이스들이 인터넷에 연결돼 있어 대규모 위협을 방어하기 어렵다고 내다봤다. 특히 감염된 대부분의 디바이스는 멀웨어 방지 기능을 갖고 있지 않다.
탈로스는 공공·개인의 위협 인텔리전스 파트너 및 사법 기관과 협력해 이번 공격을 수사하고 있으며, 공개적으로 알려진 취약점에 100개의 스노트 시그니처를 설치해 피해 확산을 막고 있다고 설명했다. 또한 도메인·IPS 블랙리스트를 작성하고, 감염된 벤더에 통보하며, 사이버 위협 얼라이언스(Cyber Threat Alliance)에 통보해 공동대응할 것을 요청했다.
탈로스는 “디바이스가 감염됐다는 사실을 알게되면 가장 먼저 디바이스를 네트워크로부터 차단시키고, 기본값으로 재설정한 뒤 보안 패치를 즉시 업데이트해야 한다”고 당부했다.
