마이크로틱, 3월과 5월 이어 8월에도 대규모 공격에 노출
마이크로틱 사용자라면 모두 펌웨어 패치 배포 시기 주시해야

[보안뉴스 문가용 기자] 지난 3월, 라트비아의 생산 업체인 마이크로틱(MikroTik)이 고급 위협 행위자들에 사이버 공격을 당했다. 이 공격에는 슬링샷 작전(Operation Slingshot)이라는 이름이 붙었다. 마이크로틱은 이에 패치를 했으나, 공격자들의 마이크로틱 라우터 사랑은 계속되고 있다. 최근 마이크로틱 라우터를 통한 암호화폐 채굴 공격이 새롭게 시작된 것이다.


원래의 슬링샷 작전은 스크린샷, 키보드 데이터, 네트워크 데이터, 비밀번호, 다양한 데스크톱 활동 관련 데이터, 클립보드 등을 수집할 수 있는 스파이웨어를 퍼트리는 것이었다. 이 때 공격자들은 제로데이 취약점을 익스플로잇 했다. 매우 발전된 탐지 회피 기술도 발견됐는데, 특정 포렌식 활동이 시작되면 공격이 중단되기도 했다. 하지만 어찌됐던 이 작전은 결국 막혔다.

그런데 최근 일부 보안 전문가들이 마이크로틱 라우터에서 여전히 공격이 일어나고 있음을 발견했다. 이번에는 스파이웨어가 아니라 암호화폐 채굴 코드가 퍼지고 있었다. 공격은 브라질에서부터 시작됐지만, 이미 빠르게 다른 나라로도 확산되는 중이라고 한다.

공격자들은 감염된 마이크로틱 라우터를 통과하는 트래픽에 암호화폐 채굴 소프트웨어를 주입했는데, 이 공격이 얼마나 성공적이었는지 장비 퍼포먼스에서 문제가 저절로 느껴질 정도였다고 한다. 그래서 공격자들은 작전을 바꿔 채굴 코드를 라우터 기반의 오류 페이지에만 심기 시작했다.

보안 업체 트러스트웨이브(Trustwave)의 보안 연구원들에 따르면 공격자들은 현재까지 20만대가 넘는 라우터를 공격했는데, 이 숫자는 빠르게 늘어나고 있다고 한다. 또한 공격 시작점이 브라질인 것에 반해 이 20만대 중 수만 대가 이미 다른 나라에 위치하고 있어 지역을 논하는 것에 의미가 없어진 상황이라고도 설명한다.

“마이크로틱 라우터를 소유하고 있다면 일단 거주 지역이 어디이든 암호화폐 채굴 코드가 심길 수 있다는 가능성을 염두에 두어야 합니다.” 트러스트웨이브의 위협 첩보 관리자인 칼 시글러(Karl Sigler)의 설명이다. 그러나 염려하는 것 외에는 사용자가 실제로 할 수 있는 일은 그리 많지 않다.

“마이크로틱에서 패치를 빨리 배포해주기를 기다리는 수밖에 없습니다. 최근 들어 마이크로틱 라우터에 대한 공격이 잦았기 때문에 패치가 느리지는 않을 겁니다. 훈련이 되었을 거라고 봅니다. 게다가 이 공격을 패치로 막는 게 기술적으로 어려운 것도 아닙니다. 문제는 그 패치를 사용자들이 적용하는 것이죠.”

마이크로틱은 이번 5월 FBI가 공식적으로 “재부팅 하라”는 권고를 발령할 만큼 큰 공격을 받은 바 있다. 그와 함께 패치 및 업데이트에 대한 촉구도 있었다. 위에서 언급된 3월의 공격 역시 소프트웨어 패치가 되지 않은 라우터들에만 영향이 있었다.

3줄 요약
1. 마이크로틱 라우터 제품을 통해 채굴 코드 심는 공격 빠르게 확산 중.
2. 공격의 시작 지점은 브라질이지만, 이미 전 세계적으로 퍼지고 있어 지역 언급은 의미 없음.
3. 업데이트로 방어 가능. 마이크로틱이 패치 배포하면 빨리 적용하는 게 관건.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>