시스코 탈로스, 디바이스 감염시 네트워크 차단하고 최신 보안 패치 적용 권고

 
[아이티데일리] 가정 및 소규모 오피스용 라우터, 스토리지 장비를 감염시켜 사이버 공격에 활용하는 ‘VPN 필터 멀웨어’가 발견돼 사용자의 주의가 요구된다. 해당 ‘VPN 필터 멀웨어’는 현재 54개국에서 최소 50만 개 이상의 디바이스를 감염시킨 것으로 보인다.

25일 시스코 탈로스는 정부 차원의 후원을 받는 것으로 추정되는 사이버 공격인 ‘VPN 필터 맬웨어’를 발견했다고 밝혔다. 공격자는 해당 멀웨어로 감염시킨 장비를 네트워크로 구성해 대규모 공격을 준비하고 있는 것으로 분석됐다.

탈로스에 따르면 감염된 제품의 제조사는 링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(NETGEAR), 티피링크(TP-Link) 가정용 라우터와 큐냅(QNAP) 등이었다. 또 탈로스는 엔터프라이즈 라우터, 엔터프라이즈급 벤더의 제품, 시스코 라우터/스위치 대부분은 이번에 공격받은 제폼에 해당하지 않는다고 덧붙였다.

동시다발적으로 감염된 디바이스들로 구성된 이 네트워크는 탈로스가 발견할 것 중 가장 큰 규모에 해당했다. 또한, 이 공격은 미국 정부가 ‘정부 차원의 후원을 받는 단체의 소행’이라고 주장하고 있는 공격과 유사한 것으로 조사됐다.

해당 멀웨어를 활용하면 대규모의 공격도 감행할 수 있으며, 여러 가지의 다양한 형의 공격도 가능하다. 개별 디바이스 별 데이터 도용의 위험도 있고, 디바이스를 작동하지 못하게 무력화 시킬 수도 있다. 이번 멀웨어는 모든 감염된 장치들을 불능화할 수 있는 기능을 포함하고 있으며, 공격자들의 흔적을 감추고 수십만 건의 인터넷 접근 기록을 제거할 수 있는 기능도 있다.

탈로스 관계자는 “이번 공격이 스니퍼를 설치해서 산업용 제어시스템 관련 정보를 수집할 수 있다는 것을 발견했다”며, “공격자들은 토르(TOR) 네트워크(익명의 디바이스 네트워크)와 유사한 자체 프라이빗 네트워크를 만들었으며, 이를 통해 데이터를 공유하고 동시다발적인 대량의 공격을 수행할 수 있다”고 말했다.

한편 탈로스 측은 이번 대규모 위협을 방어하는 것은 상당히 어려울 것이라고 판단했다. 이 이유로 ▲대부분의 감염 디바이스들이 인터넷에 연결돼 있다는 점 ▲감염된 디바이스의 취약점은 잘 알려져있지 않아 사용자가 패치하기 어렵다는 점 ▲대부분의 디바이스가 멀웨어 방지 기능을 내장하지 않았다는 점 등을 들었다.

이에 대응방안으로 위협 인텔리전스 파트너 및 사법기관과 협력해 이번 위협을 수사해야 하며, 공개적으로 알려진 취약점에 스노트(Snort) 시그니처 설치, 도메인 및 IPS 블랙리스트 작성, 감염된 벤더에 통보, 사이버 위협 얼라이언스에 통보 등을 제시했다. 더불어 사용자에게는 디바이스 감염시 디바이스 네트워크를 차단하고, 기본값으로 재설정 및 최신 보안 패치 적용 등을 권고했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지