[주의] 미라이 봇넷, 기본 비밀번호 악용해 SSR 장비 공격…증가하는 DDoS 위협

주니퍼 네트웍스(Juniper Networks)가 자사 세션 스마트 라우터(Session Smart Router, SSR) 제품이 미라이(Mirai) 봇넷 공격의 주요 표적이 되고 있다고 경고했다. 이 공격은 기본 비밀번호를 활용해 장비를 감염시키고, 이를 분산서비스거부공격(DDoS) 실행에 악용하는 것으로 나타났다.

지난 12월 11일, 주니퍼는 다수의 고객으로부터 세션 스마트 네트워크(Session Smart Network, SSN) 플랫폼에서 이상 현상이 발생했다는 보고를 받았다. 조사 결과, 기본 비밀번호를 사용하는 시스템들이 미라이 악성코드에 감염돼 봇넷의 일부로 동원되었고, 이를 통해 네트워크 내 다른 장치들을 대상으로 DDoS 공격을 실행한 것으로 밝혀졌다.

미라이 봇넷은 2016년 소스 코드가 유출된 이후 다양한 변종으로 진화해왔다. 기본 자격 증명과 알려진 취약점을 탐지해 장치를 감염시키고, 이를 DDoS 공격에 사용하는 방식으로 악명을 떨치고 있다.

미라이 악성코드는 약한 비밀번호나 기본 설정을 그대로 둔 장비를 겨냥해 무차별 대입 공격을 실행한다. 감염된 장치들은 일반적으로 포트 스캔, SSH를 통한 빈번한 로그인 시도, 비정상적인 대량의 외부 트래픽 발생, 갑작스러운 재부팅 등의 이상 징후를 보인다.

주니퍼는 감염된 시스템에 대해 "장치를 재이미징(reimaging)하는 것만이 위협을 완전히 제거할 수 있는 유일한 방법"이라고 강조하며, 악성코드가 시스템에서 어떤 데이터를 탈취하거나 변경했는지 완벽히 파악하기 어렵다고 설명했다.

◆아카마이, 새로운 미라이 변종 'Hail Cock' 경고

아카마이(Akamai)는 같은 날 새로운 미라이 변종 'Hail Cock'에 대한 보고서를 발표했다. 이 변종은 DigiEver DS-2105 Pro DVR 장치의 원격 코드 실행 취약점과 약한 비밀번호를 악용하며, 텔넷(Telnet)과 SSH 무차별 대입 공격으로 봇넷 규모를 확장하고 있다.

이번 캠페인은 2024년 10월부터 시작된 것으로 추정되며, 공격자들은 다음과 같은 취약점도 함께 악용하고 있다.

▲TP-Link 라우터의 명령어 삽입 취약점(CVE-2023-1389)

▲Teltonika RUT9XX 라우터의 비인증 운영체제 명령어 삽입 취약점(CVE-2018-17532)

아카마이 연구진은 "레거시 장비와 구형 펌웨어는 공격자에게 있어 가장 쉬운 표적 중 하나"라며, DigiEver DS-2105 Pro와 같은 구형 장비는 패치 지원이 중단되거나 제조사가 사라지는 경우가 많아 큰 위험에 노출돼 있다고 경고했다.

보안 전문가들은 기본적인 보안 조치를 통해 미라이와 같은 봇넷의 위협을 완화할 수 있다고 강조했다. 주요 권장 사항은 다음과 같다.

-기본 비밀번호를 즉시 강력하고 고유한 비밀번호로 변경한다.

-접근 로그를 주기적으로 감사해 비정상적인 로그인 시도나 의심스러운 트래픽을 확인한다.

-방화벽을 설정해 무단 트래픽을 차단하고 중요한 장치 접근을 제한한다.

-장치 펌웨어를 최신 상태로 유지하고, 제조사가 지원을 중단한 장비는 교체한다.

-이상 징후(포트 스캔, 재부팅, 대량의 외부 트래픽 등)에 대한 모니터링을 강화한다.

한 보안 전문가는 "기본 비밀번호와 패치되지 않은 시스템은 네트워크 보안의 가장 큰 약점"이라며, IoT 및 네트워크 장치도 전통적인 엔드포인트와 동일한 수준의 보안 관리가 필요하다고 조언했다.

기본 비밀번호 변경, 펌웨어 업데이트, 시스템 활동 감사와 같은 단순한 조치만으로도 많은 보안 침해를 예방할 수 있다. 봇넷 캠페인이 진화하는 가운데, 기업은 이러한 위협에 대응할 수 있는 선제적인 방어 태세를 갖춰야 한다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★