파이어아이코리아(대표 전수홍)는 시스코 라우터 임플랜트(Router Implant) ‘SYNful Knock’을 이용한 공격을 포착했다. 공격은 우크라이나, 필리핀, 멕시코, 인도 4개국에서 14개 사례가 수집됐다. 그 동안 이론 상에서만 존재했던 라우터 임플랜트를 이용한 실제 공격이다.
라우터 이용 공격은 업체에게 치명적인 피해를 입힌다. 공격자가 라우터와 같은 인프라 기기를 제어해 기업 데이터 흐름과 중요 정보에 접근할 수 있다. 나머지 인프라를 대상으로 한 추가적인 공격을 진행할 수 있다. 더 위협적인 것은 임플랜트가 시스템 재부팅 후에도 계속해서 네크워크 환경에 영속적으로 머물 수 있다. 공격자는 네트워크에 끊임없이 접근할 수 있다.
임플랜트는 허위 인증 형식 비표준 패킷을 활용하기 때문에 백도어의 존재 여부도 탐지하기 어렵다.
전수홍 대표는 “공격자가 네크워크에 영속적인 접근을 위해 노력을 기울이는 만큼, 발견되지 않은 임플랜트의 변종도 전 세계적으로 분포하고 있을 것”이라고 말했다. 그는 “이러한 새로운 공격 벡터를 효과적으로 대응하기 위해서는 아직 밝혀지지 않은 공격 사례를 밝히기 위한 지속적인 노력과 현재와 다른 보안 접근이 필요하다”고 덧붙였다.
김인순기자 insoon@etnews.com