러시아 국가 후원 해커의 라우터 공격, 미 동맹 9개국의 공동 경보와 실무 방어 가이드

  • 러시아 국가 후원 해커가 취약 라우터를 초기 침투 경로로 악용해 중요 인프라에 침투하는 것으로 분석됨
  • 미국과 8개 동맹국 사이버보안기관이 위협 정보와 방어 수칙을 담은 공동 자문을 동시 발표함
  • 라우터 설정 오류가 국가급 캠페인의 핵심 진입점으로 부상하며 장비 보안 강화 필요성이 대두됨

라우터 한 대의 기본 설정 미흡이 국가 단위 해킹의 첫 관문이 될 수 있다는 점에서, 경계 장비의 위생 점검은 선택이 아닌 필수다.

2026년 7월 13일, 미국과 8개 동맹국 사이버보안기관이 러시아 국가 후원 해커의 라우터 표적 공격에 대응하는 공동 자문을 동시 발표했다. 보안 매체 Bleeping Computer는 이 자문이 취약한 네트워크 장비가 국가급 캠페인의 발판으로 악용되고 있다는 평가를 담고 있다고 보도했다. 본문은 이번 경고의 기술적 배경과 국내 보안팀이 즉시 적용 가능한 점검 항목을 정리한다.

공동 경보의 배경과 참여국

이번 자문은 미 국가안보국(NSA), 미 사이버보안청(CISA), 미 연방수사국(FBI)을 중심으로 영국, 캐나다, 호주, 독일, 프랑스, 네덜란드, 체코 등 8개 동맹국이 함께 발령했다. 공동 자문(joint advisory) 형식은 단일 국가의 경고보다 신뢰도와 적용 범위가 넓어, 글로벌 기업과 각국 중요 인프라 운영기관이 동일한 위협 정보를 공유하도록 설계된 것으로 분석된다.

러시아 행위자는 과거에도 에너지, 통신, 정부 네트워크를 반복적으로 노려왔으며, 이번 자문은 그 패턴이 라우터라는 비교적 단순한 경계 장비로 확장되었음을 공식 확인한 것에 의미가 있다. 보도 시점 기준 별도의 제로데이 악용은 확인되지 않았으며, 알려진 취약점과 기본 설정 미흡이 결합된 형태가 주된 침투 경로로 분석된다.

러시아 행위자의 라우터 침투 기법

초기 침투 단계

공동 자문에 따르면 공격자는 인터넷에 직접 노출된 라우터의 기본 자격 증명, 미변경 관리자 계정, 그리고 구버전 펌웨어의 알려진 취약점을 우선 악용하는 것으로 보인다. 노출 포트 중 텔넷(23)과 HTTP(80), SNMP(161) 같은 관리용 프로토콜이 대표적 진입로로 제시된다. 일단 접근에 성공하면 공격자는 라우터 내부에 백도어 사용자 계정을 생성하거나, 정상 설정 파일을 변조해 원격 명령 실행 환경을 확보한다.

지속성 확보 및 측면 이동

초기 침투 이후에는 라우터의 부팅 설정과 펌웨어 무결성 영역을 조작해 재부팅 후에도 접근 권한이 유지되도록 만든다. 이후 인접 네트워크로 이동하며 내부 자산을 탐색하고, 중요 인프라 운영 환경에서 사용하는 원격 관리 프로토콜과 VPN 게이트웨이를 추가 표적으로 삼는다. 보고서는 이 단계에서 일반적인 운영 트래픽과 악성 트래픽의 구분이 매우 어려워진다고 강조한다.

중요 인프라 영역 타깃 활동

최종적으로는 운영기술(OT) 환경과 산업제어시스템(ICS) 구간을 향해 측면 이동이 시도되며, 장기 정보 수집과 향후 공격 시점을 위한 거점 확보가 이루어지는 것으로 보인다. 특히 라우터는 트래픽의 중앙 집결점 역할을 하기 때문에, 단일 장비 침투가 곧 내부 다수 시스템의 가시성 확보로 이어진다는 점이 위협의 핵심이다.

공동 자문의 핵심 방어 권고 사항

자문은 산업제어시스템 사이버 비상대응팀 등 운영기관과 일반 기업 공통으로 적용 가능한 항목을 묶어 제시했다. 주요 권고는 다음과 같이 요약할 수 있다.

  • 기본 관리자 비밀번호 강제 변경, 계정 잠금 정책, 다요소 인증 적용
  • 미사용 관리 포트 차단, 텔넷과 SNMP 비활성화, HTTPS 전용 관리 화면 전환
  • 최신 안정 펌웨어 적용 및 서명된 펌웨어만 허용, 출처 불명 장비 반입 금지
  • 설정 파일 백업과 무결성 모니터링, 주기적 설정 비교 감사 수행
  • 관리 평면(management plane) 네트워크 분리 및 접근 통제 강화

국내 기업을 위한 점검 체크리스트

자문의 권고 사항을 운영 현장에서 즉시 점검할 수 있도록, 본문에서는 우선순위별로 항목을 재정리했다. 표는 24시간 이내 즉시 점검과 1주일 내 개선, 중기 로드맵으로 구분한다.

구분 점검 항목 책임 주체
즉시(24시간) 기본 비밀번호 사용 장비 목록 작성, 텔넷/SNMP 노출 여부 확인 네트워크 운영팀
단기(1주일) 관리 평면 분리, 펌웨어 버전 점검, 미사용 포트 폐쇄 네트워크 운영팀, 보안팀
중기(1~3개월) 라우터 설정 표준화, 설정 변경 감사 체계 도입, 탐지 룰 고도화 CISO, 보안 거버넌스

특히 다수 사업장이 분산된 환경에서는 원격 관리 라우터가 단일 실패점이 될 가능성이 크다. 본사 보안팀은 현장 장비 목록과 관리 인터페이스 접근 권한을 통합 관리할 수 있는 자산 인벤토리 체계를 함께 정비할 필요가 있다.

향후 위협 전망과 대응 과제

공동 자문은 위협이 단발성이 아니라 지속적 캠페인으로 운영될 가능성을 시사한다. 러시아 행위자가 라우터 같은 범용 네트워크 장비 네트워크 장비에 관심을 갖는 이유는, 전통적인 엔드포인트 보안 솔루션의 감시가 상대적으로 느슨하기 때문이다. 따라서 향후 1년간 라우터, 스위치, VPN 장비 등 경계 및 핵심 네트워크 기기를 대상으로 한 침투 시도가 우회적 형태로 지속될 것으로 전망된다.

개인적인 분석으로는, 이번 경보가 단순한 기술 권고를 넘어 동맹국 사이의 사이버 위협 인텔리전스 공유 체계가 실질적으로 작동하고 있음을 보여주는 신호로 읽힌다. 그러나 국내 많은 기업이 여전히 기본 설정 점검조차 자동화하지 못하고 있다는 점을 고려하면, 공급망 보안과 운영기술 보안에 대한 투자 우선순위를 재조정하는 것이 시급한 과제로 판단된다.

핵심 정리

  1. 이번 경보는 단일 제품의 취약점이 아니라 라우터 전반의 설정 미흡이 국가급 위협의 진입점이 되고 있음을 공식 인정한 사건이다.
  2. 동맹 9개국의 공동 자문 형식은 위협 정보 공유의 글로벌 표준으로 자리매김하고 있으며, 국내 기업도 이에 발맞춰 점검 체계를 정비해야 한다.
  3. 방어의 1차 라인은 기본 자격 증명 변경, 관리 포트 차단, 펌웨어 최신화라는 위생 점검이며, 이를 자동화하지 못하면 어떤 고급 솔루션도 효과를 내기 어렵다.
러시아 해커, 중요 인프라, 라우터 취약점, 공동 사이버 자문, 국가 후원 공격, CISA, 네트워크 장비 보안, 침투 탐지, 공급망 보안, 사이버 동맹, 사이버보안 동향, 장비 설정 점검, 사이버 위협 인텔리전스, 산업제어시스템 보안

댓글 남기기