라우터 50만대 감염시킨 VPN 필터 멀웨어
시스코의 탈로스(Talos)에 따르면 링크시스, 마이크로틱, 넷기어, 티피링크와 같은 공유기와 큐냅(NAS) 등의 장비에서 심각한 피해를 입힐 수 있는 멀웨어가 발견됐다고 합니다.
'VPN 필터'라 불리는 이 멀웨어에 전세계 54개국의 약 50만개의 라우터가 감염된 것으로 알려져 충격을 주고 있는데요. 이 멀웨어를 제작한 단체는 대규모 공격을 준비중인 것으로 알려있어 관련업계가 긴장하고 있다고 합니다.
이 멀웨어는 총 3단계에 걸쳐 라우터를 감염 시킵니다. 1단계는 라우터에 잠입하는 단계 입니다. 'VPN 필터 멀웨어'는 다른 멀웨어와는 다르게 전원을 껏다 켜도 사라지지 않기 때문에 문제가 심각한 상황입니다.
2번째 단계는 '정찰' 단계입니다. 이 단계에서는 라우터를 통해 전달되는 파일과 데이터를 수집합니다. 이 때 자신이 분석될 가능성을 차단하고자 자폭하는 기능도 탑재됐다고 합니다.
3단계는 시스템 분석을 끝내고 다양한 모듈들을 투입시키는 단계입니다. 웹 사이트의 크리덴셜(Credentials)과 Modbus SCADA 프로토콜을 수집하는 모듈과 토르(Tor) 익명화 기능을 가진 모듈들이 여기에 포함됩니다.
라우터가 3단계까지 감염이 된다면 데이터 도용의 위험은 물론 디바이스를 무력화 시킬 수도 있습니다. 탈로스 관계자에 따르면 "VPN 필터 멀웨어는 토르 네트워크(익명 네트워크)와 유사한 자체 프라이빗 네트워크를 만들었으며, 이를 통해 데이터를 주고 받거나, 동시다발적으로 공격을 수행할 수 있다."고 합니다.
또한 탈로스는 "이 멀웨어를 통해 국가의 사회기반 시설을 목표로 정찰 및 파괴 작전을 펼칠 수 있다.", "우리는 첫 타킷을 우크라이나로 예상하는데 이유는 감염된 50만대의 장비들의 대다수가 우크라이나에 있기 때문이다. 또한 해커들이 최근에 우크라이나에 서브 네트워크와 C&C서버를 설치한 정황을 발견했다."라고 밝혔습니다.
이어서 그들은 이번 사건의 배후는 러시아일 것이라고 조심스럽게 예측했습니다. 이유는 VPN필터의 코드를 보면 예전 러시아가 만들었던 '블랙에너지' 멀웨어에 사용된 코드가 동일하게 사용된 것을 확인했기 때문입니다.
탈로스는 또한 "우크라이나의 제헌절(6월 28일)에 맞춰 대규모 공격이 계획 중인 것이 확실하다."라고 경고하기도 했습니다.
이에 우크라이나 국가보안센터는 이번 멀웨어는 러시아의 소행이 확실하다며 러시아를 비난하고 나섰는데요. 하지만 안타깝게도 VPN 필터를 활용한 공격은 그 배후를 추적하는 것은 사실상 불가능 하다고 합니다.
VPN 필터는 다양한 공격을 위해 해커들이 미리 뚫어 일종의 땅굴 역할은 하는데, 해커는 감염된 라우터에 연결된 IoT 장비들을 활용해 공격을 하며, 공격들은 모듈 구조로 되어 있기 때문에 정확한 배후를 찾기란 굉장히 어렵다고 합니다.
현재 시스코는 피해를 입은 업체들과 함께 연합체를 만들고 피해 고객들에게 이 사실을 알리는데 주력하고 있다고 하는데요. 넷기어에서는 취약점이 개선된 펌웨어를 배포하고 있다고 합니다.
시스코에 따르면 아직 펌웨어 업데이트 등의 조치가 완료되지 않은 업체의 장비를 사용하는 사람들은 최대한 자주 라우터를 껏다 키는 것이 좋다고 합니다. 이렇게 하면 2, 3단계 공격을 차단할 수 있다고 합니다. 다만 1단계 침투상태는 그대로 남아 있기 때문에 근본적인 해결을 위해서는 제조사 차원의 지원이 필요하다고 합니다.
