PHP 서버·IoT 기기, 봇넷의 새로운 먹잇감…신분 도용 위험 급증

[보안뉴스 김형근 기자] 사이버 보안 연구원들이 미라이(Mirai), 가프짓(Gafgyt), 모지(Mozi) 같은 봇넷들의 자동화된 공격이 PHP 서버, IoT 장치, 클라우드 게이트웨이를 겨냥해 급증하고 있다고 경고했다.

[자료: gettyimagesbank]

글로벌 보안 전문업체 퀄리스의 연구진에 따르면, 이 캠페인들은 알려진 CVE 취약점과 클라우드 설정 오류를 악용해 노출된 시스템을 장악하고 봇넷 네트워크를 확장하고 있다.

특히 PHP 서버가 가장 두드러진 표적이다. 워드프레스나 크래프트 CMS 같은 콘텐츠 관리 시스템의 광범위한 사용으로 공격 표면이 넓어졌고, 오래된 플러그인이나 안전하지 않은 설정 오류가 취약점을 키우고 있기 때문이다.

디버그 세션 악용 등 은밀한 침투 시도
공격자들은 PHP유닛의 RCE 취약점(CVE-2017-9841), 라라벨의 RCE 취약점(CVE-2021-3129) 등 잘 알려진 약점을 적극적으로 공격하고 있다.

또한 /?XDEBUG_SESSION_START=phpstorm 같은 쿼리 문자열을 이용해 Xdebug 디버깅 세션을 의도적으로 시작시키는 공격도 관찰됐다. 이 디버그 기능이 프로덕션 환경에 남아있을 경우, 공격자가 민감 데이터를 추출할 수 있다.

IoT 장치에서도 스프링 클라우드 게이트웨이의 RCE 취약점(CVE-2022-22947) 등 알려진 보안 결함을 활용해 기기를 봇넷에 편입시키고 있다.

특히 공격 스캐닝 활동은 AWS, 구글 클라우드, 애저 같은 합법적인 클라우드 인프라에서 시작되는 경우가 많아, 공격의 진원지를 숨기고 있다.

봇넷, 디도스 공격 넘어 ‘신분 도용’ 역할까지
봇넷은 과거 대규모 디도스(DDoS) 공격이나 암호화폐 채굴에 주로 사용됐다. 그러나 최근에는 신분 보안 위협에서 새로운 역할을 맡고 있다.

보안전문업체 비욘드트러스트의 제임스 모드 보안전문가는 방대한 라우터 IP 네트워크를 활용해 크리덴셜 스터핑이나 패스워드 스프레이 공격을 대규모로 수행할 수 있다고 경고했다.

봇넷 노드는 또한 피해자의 위치나 ISP와 가깝게 설정돼 지리적 통제를 우회하며 로그인 탐지 시스템을 회피하는 데 활용된다.

아이수루 봇넷, ‘터보미라이’급 위협으로 진화
보안업체 넷스카우트는 최근 아이수루(AISUR) 라는 디도스 공격 임대(DDoS-for-hire) 봇넷을 터보미라이(TurboMirai)라는 새로운 악성코드 클래스로 분류했다.

이 봇넷은 20Tbps(테라비트/초)를 초과하는 디도스 공격이 가능하며, 가정용 라우터, CCTV, DVR 시스템 등 고객 구내 장비(CPE)로 구성된다. 아이수루는 봇넷 노드를 주거용 프록시 서비스로 만들어 익명성을 제공하고 정상 활동처럼 위장하는 데 활용된다.

[김형근 기자(editor@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)