FBI 경고: 지원 종료된 구형 라우터, 사이버 공격의 쉬운 표적!
미국 FBI가 오래된 라우터의 보안 취약점을 악용한 사이버 범죄에 대한 경고를 발표했습니다. 더 이상 제조사에서 보안 업데이트를 제공하지 않는 지원 종료(EOL) 라우터들이 사이버 범죄자들의 주요 공격 대상이 되고 있다는 내용입니다. 특히 5Socks와 Anyproxy라는 범죄 네트워크는 공개된 익스플로잇을 활용하여 Linksys, Cisco, Cradlepoint 등의 구형 라우터에 악성코드를 심어 봇넷을 구축하고 있습니다.
구형 라우터, 왜 위험한가?
EOL 라우터는 더 이상 보안 업데이트를 받지 못하기 때문에, 알려진 취약점에 그대로 노출되어 있습니다. 사이버 범죄자들은 이러한 취약점을 이용하여 라우터에 침입하고 악성코드를 설치합니다. 감염된 라우터는 공격자의 출처를 숨기는 가정용 프록시 봇넷에 추가되어 악성 행위나 랜섬웨어 캠페인에 악용될 수 있습니다. FBI는 구형 장비를 즉시 교체하거나, 최소한 재부팅하고 원격 관리를 비활성화할 것을 강력히 권고하고 있습니다.
FBI가 지목한 위험 라우터 모델
FBI는 보안 팀과 시스템 관리자에게 중요한 사이버보안 정보를 신속하게 전달하기 위해 FLASH 권고를 발행하며, 현재 자주 탈취되고 있는 Linksys, Cradlepoint, Cisco의 라우터 13종을 명시했습니다. 해당 모델은 다음과 같습니다.
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, WRT320N, WRT310N, WRT610N
- Cradlepoint E100
- Cisco M10
만약 위 모델 중 하나를 사용하고 있다면 즉시 보안 점검 및 교체를 고려해야 합니다.
어떻게 공격이 이루어지는가?
FBI에 따르면, 위협 행위자들은 중국 정부의 지원을 받아 원격 관리 소프트웨어가 사전 설치된 라우터에서 알려진 취약점을 악용합니다. 그 후 악성코드를 설치하고, 봇넷을 구성하며, 프록시 서비스를 판매하거나 조직적인 공격을 수행합니다. 이들은 인터넷을 스캔하여 노출된 라우터를 찾고, 인증 수단을 우회하여 관리자 접근 권한을 획득하고 설정을 변경합니다. 악성코드는 명령 및 제어(C2) 서버를 통해 정보를 전송하며, 라우터와 주기적인 통신을 유지하여 감염 상태를 지속시킵니다.
감염 여부 확인 및 예방 방법
라우터는 대부분의 안티바이러스 도구가 스캔할 수 없기 때문에 감염 여부를 알아내는 것이 어려울 수 있습니다. FBI는 사용자에게 취약점을 판단할 수 있도록 공격 캠페인과 관련된 파일 목록을 제공했습니다. 또한, 연결 또는 성능 문제, 이상한 네트워크 트래픽, 변경된 설정, 새로운(악성) 관리자 계정 등장 등의 증상이 나타날 수 있습니다. 예방을 위해서는 다음과 같은 조치를 취해야 합니다.
- 가능한 경우 공급업체의 지원 계획 내에 있는 신형 모델로 교체
- 원격 관리 비활성화
- 모든 자격 증명 변경 (최소 16자에서 최대 64자 사이의 강력한 비밀번호 사용)
- 최신 펌웨어 설치
- 장치 재부팅
지원 종료된 장비, 쉬운 표적이 되다
시스코 시스템즈의 탈로스 위협 인텔리전스 유닛은 2024년에 위협 행위자가 가장 많이 악용을 시도한 상위 3가지 취약점 중 2개가 더 이상 패치되지 않는 EOL 장비에 있었다고 밝혔습니다. 이는 지원 종료된 네트워크 장비가 사이버 범죄자들의 주요 표적이 되고 있음을 보여줍니다. 2010년 이전 출시된 라우터는 대부분 제조사에서 더 이상 소프트웨어 업데이트를 제공하지 않으며, 이미 알려진 취약점을 통해 쉽게 침해될 수 있습니다.
결론
FBI의 경고는 오래된 라우터의 보안 취약성이 심각한 위협이 될 수 있음을 강조합니다. 즉시 라우터 모델을 확인하고, 해당 모델이 FBI가 지목한 위험 모델에 포함된다면 교체하거나 보안 설정을 강화하여 사이버 공격으로부터 안전하게 보호해야 합니다. 정기적인 점검과 업데이트를 통해 안전한 네트워크 환경을 유지하는 것이 중요합니다.
