Nexcorium, TBK DVR 취약점(CVE-2024-3721) 악용… 진화하는 Mirai 계열 봇넷과 IoT 보안의 경고음

서론: 공격 개요 및 최근 보안 이슈 부상 배경

IoT(사물인터넷) 보안 위협이 다시 한 번 심각하게 대두되고 있습니다. 보안 기업 포티넷과 Palo Alto Networks의 위협 분석 부서 Unit42는 최근 Mirai 계열 봇넷의 신종 변종, Nexcorium이 CVE-2024-3721 취약점을 적극적으로 악용하고 있음을 보고했습니다. 해당 취약점은 TBK DVR(디지털비디오레코더)와 단종된 TP-Link 라우터 등에 영향을 미치며 인증 우회를 허용하는 심각한 보안 결함입니다.

Mirai 계열 Nexcorium 봇넷의 특징과 진화

Mirai는 2016년 대규모 DDoS 공격에 사용되어 전 세계를 충격에 빠뜨린 악성코드로, 소스코드 공개 이후 다양한 변종이 우후죽순 등장했습니다. Nexcorium 역시 Mirai 계열 중 최근 부상한 변종으로, 여러 기술적 특징을 보입니다.

• 공개된 최신 취약점을 신속히 탐지하고 자동 악용하는 고도화된 기능
• 다양한 CPU 환경에서 동작하며 광범위한 IoT 기기 감염 가능
• 탐지 회피와 대량 DDoS 트래픽 발생에 최적화된 설계

이러한 진화는 방치되거나 오래된 IoT 기기를 지속적으로 위협합니다.

CVE-2024-3721 취약점의 구체적 내용 및 공격 시나리오

CVE-2024-3721은 미국 국가 취약점 데이터베이스(NVD)에도 등재된 인증 우회 관련 취약점입니다. 공격자는 정상적인 인증 절차 없이 기기에 접근해 관리자 권한을 획득할 수 있습니다. 이미 여러 취약점 진단 도구에서 개념증명 코드도 공개돼 있어 실제 공격에 손쉽게 악용되고 있습니다.

공격 절차는 일관됩니다. 인터넷상에 취약한 기기를 스캔해 탐색한 뒤, 인증 절차를 우회해 관리자 권한을 획득하고 봇넷 클라이언트를 설치, 감염된 기기를 DDoS 트래픽 발생에 동원하도록 만듭니다.

TBK DVR과 TP-Link 라우터 등 피해 기기 현황 및 파급력

TBK DVR은 산업·상업 현장에서 폭넓게 쓰였으며, 지원·업데이트가 중단된 경우가 많아 보안 패치가 불가능합니다. TP-Link의 단종된라우터 역시 가정용·소규모 기업 망에 널리 남아 있어 수천 대 이상이 위험에 노출되어 있습니다. 이처럼 관리 사각지대에 남아 있는 IoT 기기는 대규모 봇넷에 악용될 가능성이 매우 큽니다.

보안 기업 분석 및 관측 결과

포티넷과 Palo Alto Networks는 Nexcorium의 DDoS 트래픽이 UDP 플러드, SYN 플러드 등 종래 방식으로 이뤄지나, 공격 빈도와 강도가 점차 증가 중이라는 점에 주목하고 있습니다. 특히 공격자들이 체계적으로 주기적 스캐닝과 자동화된 침투를 시도, 동일 취약점을 노리고 있다는 점에서 대규모 확산이 계속 예상됩니다.

향후 전망 및 전문가 의견

보안 전문가들은 Mirai 계열 변종이 앞으로도 신속하게 신규 취약점을 채택·악용할 것으로 분석합니다. 제조사 보안 지원이 끝난 기기는 관리자들이 선제적으로 격리하거나, 대체 제품 도입을 적극 검토해야 합니다. 또한 모든 IoT 기기 인벤토리를 상시 점검하고, 보안 패치 가능 여부를 주기적으로 확인하는 관리 체계가 필수입니다.

방화벽, IDS/IPS 적용, 사용하지 않는 IoT 기기의 네트워크 제거 등 기본 지침 준수 역시 보다 강화되어야 합니다.

결론: IoT 생태계 보안관리의 시사점

Nexcorium 등장과 취약점 악용은 IoT 생태계의 구조적 취약성을 경고합니다. 보안 지원이 끊긴 노후 장비, 패치되지 않은 채 방치된 기기, 기본설정조차 변경하지 않은 시스템이 인터넷상에 널리 존재합니다. 조직·개인 모두 주기적으로 IoT 인벤토리를 관리하고, 위험이 높은 기기는 신속 교체·폐기하는 결단이 필요합니다. Mirai 계열 봇넷처럼 공개 소스 기반 위협이 진화하는 환경에서는 보안 역시 한순간의 대응이 아닌 지속적 과제로 인식해야 할 것입니다.