러시아 GRU, 120개국 수천 대 라우터 해킹 – 미 연방 정부의 이례적 악성코드 제거 작전

사건 개요: 러시아 군정보기관의 글로벌 라우터 해킹

2026년 4월, 미국 법무부와 FBI는 러시아 군정보기관(GRU)이 전 세계 120개국의 수천 개 소비자 및 소규모 사무실(SOHO) 라우터를 조직적으로 해킹했다고 공식 발표했다. 이 공격은 미주·유럽·아시아·아프리카 등 전 대륙에 걸쳐 피해를 발생시키며 국제적인 사이버 보안 위협으로 떠올랐다.

GRU 해커들의 목적은 네트워크 장비에 무단 접근하여 자격 증명을 빼내고 악성코드를 심는 것이었다. 악성코드에 감염된 라우터는 공격자의 명령에 따라 데이터 유출, 악성 트래픽 전파 등 2차 공격 거점으로 활용될 수 있었다. 이는 단순 정보 탈취를 넘어, 구조적인 글로벌 보안 취약성을 노출한 사건이라 평가된다.

공격 방법 및 표적: EOL 라우터, 자격 증명 탈취, 악성코드 삽입

조사에 따르면 GRU 해커들은 보안 지원이 중단된 노후(End-of-Life, EOL) 라우터를 집중적으로 노렸다. EOL 라우터는 제조사의 보안 패치 또는 소프트웨어 업데이트가 더 이상 제공되지 않기 때문에 알려진 취약점에 쉽게 노출된다.

공격 절차는 주로 다음과 같다. 첫째, 해커들은 유출 혹은 사전 수집한 자격 증명으로 라우터 관리자 패널에 무단 접속한다. 둘째, 초기 접속 후에는 백도어 설치 혹은 취약한 기본 비밀번호를 그대로 사용하는 점을 악용한다. 셋째, 악성코드를 삽입해 추가 확산, 데이터 가로채기, 명령-제어 기능 등을 수행한다.

특히 피해자들은 대부분 이상 징후를 알아채지 못한다. 악성코드가 장치 성능 저하나 자명한 문제를 일으키지 않도록 은밀히 동작하기 때문이다.

미국 및 국제 사회의 대응: 법원 영장 통한 원격 악성코드 제거

이번 사건의 가장 큰 특징 중 하나는 미 연방 정부가 법원의 영장을 통해 라우터에 남겨진 악성코드를 원격에서 직접 삭제한 점이다. 이는 민간 소유 네트워크 장비에 대한 직접적 정부 개입이라는 점에서 업계 표준을 넘어선 결정으로 해석된다.

원격 삭제는 해킹된 장비 식별, 법원 승인, 삭제 명령 전송 등 까다로운 절차를 거쳤지만 아직 한계가 있다. 네트워크 연결이 되지 않거나 이미 분실된 장비에는 조치가 어렵고, EOL 장비의 구조적 취약성은 여전히 심각하다. 이에 따라 유럽연합, 나토 동맹 역시 국내 피해 라우터 조사를 진행하면서 정보 공유와 대응을 강화하고 있다.

노후 네트워크 인프라의 취약성과 교체의 필요성

이번 GRU 해킹은 네트워크 장비 노후화가 직접적인 보안 위험으로 이어지는 현실을 보여준다. 가정과 소규모 사무실에서 사용하는 라우터는 가격이 저렴하고 교체 주기가 길지 않아, 보안 지원이 끝난 장비가 오랫동안 사용되는 사례가 흔하다.

전문가들은 지원 중단 즉시 장비가 새로운 공격 도구에 무방비로 노출된다는 점을 경고한다. 실제 GRU 공격에서도 해커들은 이미 공개된 취약점을 적극 악용했다. 따라서 주기적인 장비 교체와, 교체 전까지는 비밀번호 강화·네트워크 분리 등 보안 통제 역시 필수다.

시사점: 최신 보안 업데이트의 중요성과 글로벌 협력

러시아 GRU의 이번 해킹은 다음 세 가지 사이버 보안 교훈을 남긴다. 첫째, 네트워크 보안은 국가 안보와 직결되는 사회적 과제며 민간 장비 관리 소홀도 국가적 위협이 될 수 있다. 둘째, 기술만으로는 한계가 뚜렷하므로 정부 정책·제도·국제 공조가 뒷받침되어야 한다. 셋째, 사용자 스스로 비밀번호 변경, 펌웨어 확인 등 기본 보안관리를 생활화해야 한다.

결국 정부·기업·개인이 협력하여 선제적이고 종합적인 보안체계를 갖추는 것만이 진화하는 사이버 위협에 대응할 수 있을 것이다.