정교한 봇넷(Botnet) 악성코드 VPNFilter

IoT 기기를 공격하는 봇넷 악성코드는 아직까진 단순한 기능을 했다. 디도스, 가상화폐 채굴, proxy 서버 역할 등이 그것이다. 그런데, 최근 정교하고 다양한 기능을 하는 VPNFilter라는 봇넷 악성코드가 발견됐다. 이미 수십개 국가에서 50만 대 이상의 라우터(공유기)와 NAS(네트워크 저장장치)를 감염시켰다.

리부트 과정에서 기기에 침입하며, 로그인 정보를 비롯해 네트워크를 통해 오가는 정보를 탈취한다. 산업 시설이나 전력망 같은 기간 시설을 제어하는 시스템을 감시하기도 한다.

라우터 작동을 중단시키는 킬스위치도 갖췄다. 인터넷 대란을 일으킬 만한 잠재력이 있다는 평가다.

기기의 취약점이나 허술한 암호를 이용하여 침투하므로, 업데이트 등 관리에 신경써야 한다. 공유기가 이미 감염됐다면 공장 초기화를 해야 제거할 수 있다.

<추가 사항>

5.29일 외신에 따르면, FBI는 모든 가정용 및 중소기업용 라우터 사용자들에게 기기를 재부팅하라고 경고했다. 현재 LinkSys, MikroTik, Netgear, TP-Link 제품들이 감염된 것으로 알려졌는데, 여기에 국한된다고 확신할 수 없으므로 모든 라우터 사용자들에게 경고한 것이다. 미국은 상황이 심각한 모양이다. 우리 나라 KISA도 주의보를 내린 상태다.

그러나 재부팅으로는 VPN필터를 완전히 제거할 수 없다. 탄두만 제거할 뿐이므로 재감염의 위험이 있다. FBI의 전술은 잠시 시간을 벌고, 재감염 시도를 역추적해서 감염된 기기를 탐지하려는 것이다. FBI는 재감염을 시도하는 트래픽을 자신의 관리 사이트로 리디렉션하고 있다. 완전히 제거하려면 공장 초기화를 해야 한다.

물론 FBI의 조치는 현명한 것이다. VPN필터는 라우터나 NAS, 기타 IoT 장치에 감염되는 것이므로 가정이나 소규모 기업의 백신 프로그램으로는 탐지가 어려울 것이다. 대기업이야 네트워크 보안 툴이 있으니까 자체 대응이 가능할 수도 있겠지만. 결국 감염 여부가 확실치도 않은데 초기화를 하랄 수는 없으니까 이런 방법을 택한 것으로 보인다.


관련 자료
  1. IoT 해킹하는 봇넷
  2. 와이파이(Wi-Fi) 보안 설정

참고 자료
  1. New VPNFilter Malware Contains Kill Switch, Infects Over 500,000 Routers
  2. Researchers unearth a huge botnet army of 500,000 hacked routers 
  3. FBI to all router users: Reboot now to neuter Russia's VPNFilter malware
  4. Reboot Your Router, But Don't Stop There
  5. IoT기기 악성코드(VPNFilter) 감염 확산에 따른 주의 권고

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다