2년 전 네티스 라우터에서 백도어 발견... 패치 나왔으나 무용지물
최근 이 백도어 활용하려는 시도가 5천 7백만 건
[보안뉴스 문가용 기자] 중국의 네티스 시스템즈(Netis Systems)가 만든 라우터들에서 백도어가 발견되었다는 소식 자체는 과거의 것일지 몰라도, 그 백도어 자체는 여전히 존재하고 있다. 보안 전문업체인 트렌드 마이크로(Trend Micro)가 최근 조사한 바에 따르면 아직도 네티스 라우터에서 백도어를 찾아서 악용하려는 시도가 수천만 건 존재한다고 한다.
네티스의 라우터에서 백도어가 발견된 건 이미 2년도 더 지난 일이다. 공격자가 마음만 먹으면 기기를 통째로 통제할 수 있도록 해주는 백도어였다. 이런 통제권을 가져가기 위해 공격자가 미리 알아내야 하는 정보는 라우터의 외부 IP 주소뿐이었다. 공격은 UDP 포트 53413을 통해 이루어졌다.
라우터를 외부 공격자가 통째로 장악하게 되면 어떤 일이 일어날까? 중간자 공격을 통해 트래픽을 우회시키거나 각종 로그인 정보를 알아내는 등 사실상 현존하는 대부분의 사이버 공격을 할 수 있게 된다고 전문가들은 당시 경고했다. 게다가 라우터 설명서 등에는 이런 백도어에 대한 언급이 하나도 되어 있지 않았다. 당연히 보안 업계는 난리가 났었다.
네티스도 당시 패치를 발표해 배포했다. 하지만 패치를 설치하는 과정 자체에서 여러 오류가 발견되었고, 백도어 코드 자체를 없애지 못했기 때문에 ‘눈 가리고 아웅’식 조치였다는 비난을 받았다. 그 때 제대로 없애진 못한 백도어가 다시 문제가 되어 돌아오리라는 건 이미 예견된 일. 다만, 업계나 일반 대중들이 이 사건에 대해 더 빠르게 잊어버렸을 뿐이었다.
그리고 2년이 지난 오늘, 트렌드 마이크로가 ‘누군가 계속해서 이 잊힌 백도어를 사용하고 있다’고 발표한 것이다. 트렌드 마이크로의 티핑포인트 디지털 백신(TippingPoint Digital Vaccine) 필터를 통해 수집된 정보로부터 도출한 내용이었다. 이 필터는 특정 백도어를 스캐닝하는 걸 탐지해내는 기능을 가지고 있어, 대단위 백도어 통신 상태를 파악하는 데에 주로 활용된다. 2016년 8월부터 지금까지 해당 백도어를 찾아내려는 시도가 약 5천 7백만 건 탐지되었다.
트렌드 마이크로의 스티브 포볼니(Steve Povolny)는 “지난 주 한 개의 IPS에서만 5만 건의 이벤트를 확인할 수 있었다”며 “대부분(약 4만 건)은 영국발이었다”고 설명했다. 나머지는 중국과 북한이 대부분을 차지했다. “전 세계의 IPv4 공간에서 활발한 공격 활동이 일어나고 있다고 해석할 수 있습니다. 특히 인터넷에 접근이 가능한 라우터를 검색해내려는 시도가 많고요. 현재 발견되는 공격의 양과 난이도를 봤을 때 당분간은 라우터와 관련된 크고 작은 사고들이 발생할 것이라고 예측할 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
최근 이 백도어 활용하려는 시도가 5천 7백만 건
[보안뉴스 문가용 기자] 중국의 네티스 시스템즈(Netis Systems)가 만든 라우터들에서 백도어가 발견되었다는 소식 자체는 과거의 것일지 몰라도, 그 백도어 자체는 여전히 존재하고 있다. 보안 전문업체인 트렌드 마이크로(Trend Micro)가 최근 조사한 바에 따르면 아직도 네티스 라우터에서 백도어를 찾아서 악용하려는 시도가 수천만 건 존재한다고 한다.
네티스의 라우터에서 백도어가 발견된 건 이미 2년도 더 지난 일이다. 공격자가 마음만 먹으면 기기를 통째로 통제할 수 있도록 해주는 백도어였다. 이런 통제권을 가져가기 위해 공격자가 미리 알아내야 하는 정보는 라우터의 외부 IP 주소뿐이었다. 공격은 UDP 포트 53413을 통해 이루어졌다.
라우터를 외부 공격자가 통째로 장악하게 되면 어떤 일이 일어날까? 중간자 공격을 통해 트래픽을 우회시키거나 각종 로그인 정보를 알아내는 등 사실상 현존하는 대부분의 사이버 공격을 할 수 있게 된다고 전문가들은 당시 경고했다. 게다가 라우터 설명서 등에는 이런 백도어에 대한 언급이 하나도 되어 있지 않았다. 당연히 보안 업계는 난리가 났었다.
네티스도 당시 패치를 발표해 배포했다. 하지만 패치를 설치하는 과정 자체에서 여러 오류가 발견되었고, 백도어 코드 자체를 없애지 못했기 때문에 ‘눈 가리고 아웅’식 조치였다는 비난을 받았다. 그 때 제대로 없애진 못한 백도어가 다시 문제가 되어 돌아오리라는 건 이미 예견된 일. 다만, 업계나 일반 대중들이 이 사건에 대해 더 빠르게 잊어버렸을 뿐이었다.
그리고 2년이 지난 오늘, 트렌드 마이크로가 ‘누군가 계속해서 이 잊힌 백도어를 사용하고 있다’고 발표한 것이다. 트렌드 마이크로의 티핑포인트 디지털 백신(TippingPoint Digital Vaccine) 필터를 통해 수집된 정보로부터 도출한 내용이었다. 이 필터는 특정 백도어를 스캐닝하는 걸 탐지해내는 기능을 가지고 있어, 대단위 백도어 통신 상태를 파악하는 데에 주로 활용된다. 2016년 8월부터 지금까지 해당 백도어를 찾아내려는 시도가 약 5천 7백만 건 탐지되었다.
트렌드 마이크로의 스티브 포볼니(Steve Povolny)는 “지난 주 한 개의 IPS에서만 5만 건의 이벤트를 확인할 수 있었다”며 “대부분(약 4만 건)은 영국발이었다”고 설명했다. 나머지는 중국과 북한이 대부분을 차지했다. “전 세계의 IPv4 공간에서 활발한 공격 활동이 일어나고 있다고 해석할 수 있습니다. 특히 인터넷에 접근이 가능한 라우터를 검색해내려는 시도가 많고요. 현재 발견되는 공격의 양과 난이도를 봤을 때 당분간은 라우터와 관련된 크고 작은 사고들이 발생할 것이라고 예측할 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
