2024-03-29 14:20 (금)
시스코 탈로스, 사이버 공격인 ‘VPN 필터 맬웨어’ 감염 확인
상태바
시스코 탈로스, 사이버 공격인 ‘VPN 필터 맬웨어’ 감염 확인
  • 길민권 기자
  • 승인 2018.05.25 16:09
이 기사를 공유합니다

정부 차원의 후원을 받는 사이버 공격으로 추정

시스코 탈로스는 정부 차원의 후원을 받는 것으로 추정되는 사이버 공격인 ‘VPN 필터 맬웨어’를 확인했으며, 공격자들은 감염된 가정 및 소규모 오피스용 라우터, 스토리지 장비로 구성된 네트워크를 이용해 파괴적인 글로벌 공격을 준비하고 있다고 밝혔다. 

동시다발적으로 감염된 디바이스들로 구성된 이 네트워크는 탈로스가 발견할 것 중 가장 큰 규모에 해당하며 이 공격은 미국 정부가 정부 차원의 후원을 받는 단체의 소행으로 주장하고 있는 공격과 유사하다.

전세계적으로 최소 50만 개의 디바이스가 감염됐으며 대부분 가정 및 소규모 오피스용 디바이스, 네트워크 스토리지로 감염된 제품의 제조사는 링크시스, 마이크로틱, 넷기어, TP-Link 가정용 라우터와 큐냅 등이다. 엔터프라이즈 라우터, 엔터프라이즈급 벤더의 제품, 시스코 라우터-스위치 대부분은 이번에 공격받은 제품에 해당하지 않는다.

탈로스는 54개국에서 감염된 디바이스를 발견했으며, 이 중 우크라이나의 디바이스가 가장 심각하게 감염된 것으로 나타났다고 발표했다.

공격자들은 감염된 디바이스를 이용하여 더 큰 규모의 공격을 감행할 것으로 추정되며, 여러 가지의 다른 형태의 공격이 예상된다. 개별 디바이스들도 데이터 도용의 위험이 있으며, 디바이스의 작동 불능 가능성도 있다. 때문에 신속하게 디바이스의 패치를 업데이트 해야한다.

또한 탈로스 측은 이번 공격이 스니퍼를 설치해서 산업용 제어시스템 관련 정보를 수집할 수 있다는 것을 발견했다. 산업용 제어시스템은 발전소 등을 관리하는 컴퓨터 시스템이다. 또한, 공격자들은 토르(TOR)네트워크(익명의 디바이스 네트워크)와 유사한 자체 프라이빗 네트워크를 만들었으며, 이를 통해 데이터를 공유하고 동시다발적인 대량의 공격을 수행할 수 있다고 밝혔다.

공격자들은 모든 감염된 장치들을 불능화할 수 있는 기능을 포함하고 있으며, 그들의 흔적을 감추고 수십만 건의 인터넷 접근을 제거할 수 있다. 이번 대규모 위협을 방어하는 것은 아래와 같은 이유로 어려울 것으로 보인다.

▲대부분의 감염된 디바이스들이 인터넷에 연결되어 있어, 방어가 매우 어렵다.

▲감염된 디바이스는 잘 알려진 취약점을 갖고 있으므로 일반 사용자가 패치하기 어렵다.

▲대부분의 디바이스는 맬웨어 방지 기능이 내장되어 있지 않다.

이에 탈로스의 대응방안은 아래와 같다.

▲공공 및 개개인의 위협 인텔리전스 파트너, 사법 기관과 협력하여 이번 공격을 수사

▲공개적으로 알려진 취약점에 100 개의 스노트(Snort) 시그니처 설치

▲도메인 / IPS 블랙리스트 작성

▲감염된 벤더에 통보

▲사이버 위협 얼라이언스(Cyber Threat Alliance)에 통보

디바이스가 감염되었다면, 먼저 ▲디바이스의 네트워크 차단하고 ▲처음 기본값으로 재설정한 뒤

▲보안 패치를 즉시 업데이트해야 한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★