시스코 라우터 기기가 3개 대륙에 걸쳐 해킹 공격에 노출된 것으로 드러났다. 시스코는 이와 관련 자사 소프트웨어와 시스템은 이와 무관하다는 입장을 밝혔다.
보안업체 파이어아이(FireEye)는 최근 시스코 라우터 기기를 통해 3개 대륙에서 해킹 공격이 이뤄졌다고 밝혔다고 16일 로이터 및 외신이 전했다.
라우터 기기에는 외부 침입을 방지하는 방화벽, 안티바이러스 백신, 행동탐지 소프트웨어 및 기타 보안 툴이 탑재돼 있다. 주로 기관이나 정부조직, 기업이 활용한다. 라우터 기기는 분산서비스거부(DDoS) 공격에 취약한 것으로 알려져 있었지만 실제 공격이 이뤄진 사례는 없다.
데이브 드월트 파이어아이 최고경영자(CEO)는 “만약 독자적으로 라우터를 확보한다면 이에 접속해 회사나 정부 조직 모든 데이터를 얻을 수 있는 것”이라며 “궁극적으로 스파이 활동을 위한 도구나 산업스파이용 도구, 사이버범죄에 악용될 수 있다는 얘기”라고 설명했다.
이번 공격은 정교한 악성 소프트웨어로 알려진 일명 ‘SNY풀 노크(SYNful Knock)’가 동원됐다. 이 공격은 실제 라우터를 제어하는 기본 소프트웨어를 대체한다. 때문에 한 번 감염되면 장치를 끄고 켤 때도 지속적으로 유지된다. 이 프로그램 이름 중 일부인 ‘SYNful’도 라우터 간 소프트웨어를 서로 바꿔 이식하기 때문에 붙여졌다. 라우터끼리 소프트웨어가 바뀌는 만큼 다른 기업 라우터에도 영향을 줄 수 있다.
이 공격은 산업계나 정부 기관 다수에 가해졌다. 파이어아이의 포렌식 컴퓨터 부서인 ‘맨디언트(MANDIANT)’가 발견한 공격만 지금까지 인도, 멕시코, 필리핀, 우크라이나에 있는 라우터 임플란트에서 14개 인스턴스에 걸쳐 이뤄졌다. 파이어아이 측은 빙산의 일각일 수 있다고 덧붙였다. 감염된 라우터 네트워크 로그를 분석하면 이 공격은 최소 1년 이상 이뤄졌다. 감염된 시스코 라우터는 1841, 2811, 3825 등이다.
감염된 것으로 발견된 경우 라우터를 제어하는 데 쓰는 기본 소프트웨어를 다시 제어, 기술자가 이를 고치고 재구현할 때 상당한 시간이 걸릴 것으로 예상된다.
데이브 드월트 파이어아이 CEO는 “현재 기술로 기업용 라우터가 감염된 걸 알 수 없는 건 아니지만 이론적으로 위협이 남아있을 여지가 크다”며 “최근 몇 년간 가정용 라우터가 악성코드에 감염된 것과는 별개”라고 전했다.
전문가들은 사이버 정보 관련 부서가 있는 영국, 중국, 이스라엘, 러시아, 미국 등의 지역에서도 라우터를 통한 해킹 공격이 이뤄졌을 가능성이 있다는 입장이다. 시스코는 기업 및 기관용 라우터 시장의 최대 공급사다. 데이브 드월트 CEO는 “이는 소수 민족 국가 지지자들이 원하는 것”이라고 전했지만 어떤 국가가 연루됐는지는 밝히지 않았다.
한편 시스코는 지난달 자사 기업용 라우터 기기 고객에게 이 같은 사실을 알렸다. 하지만 자사 소프트웨어를 이용한 취약점 공격은 없었다고 주장했다. 해커들이 공격 대상 기업 또는 기관 시스템 관리자 정보를 취득한 후 라우터에 물리적으로 접촉했다는 것이다.
시스코는 성명을 통해 “우리는 고객들에게 네트워크를 강화, 방지, 탐지해 이런 유형의 공격을 고칠 수 있는 방법을 알렸다”고 밝혔다. 이 회사는 해당 제품의 판매를 중단하고 고객 지원은 유지할 예정이다.
김주연기자 pillar@etnews.com