- 지원 종료 D-Link DIR-823X 라우터, Mirai 신종 공격 집중 타깃: 패치 부재로 수천 대 감염 확산
- CVE-2025-29635 RCE 취약점 악용: 봇넷 편입·대규모 DDoS 공격에 즉각적 보안 대응 필요
- 기업·개인 사용자의 기기 교체 및 네트워크 분리 반드시 권장
지원이 종료된 IoT 장비 방치는 한순간에 보안 재앙으로 이어질 수 있음을 확인시킨 사건입니다.
Mirai 멀웨어의 기원과 위협 개요
Mirai 멀웨어는 2016년 대규모 분산 서비스 거부(DDoS) 공격에 사용돼, 전 세계 인터넷 인프라에 심각한 충격을 남겼습니다. Mirai는 IoT 기기에서 공장 출하시 기본 비밀번호(admin, root 등)가 그대로 설정되어 있거나 보안 패치가 미흡한 점을 노려 기기를 감염시키고, 이렇게 감염된 수많은 장치를 네트워크로 묶어 대규모 봇넷을 구축하는 것이 주요 특징입니다. 초기 목표는 주로 네트워크 카메라(CCTV), 라우터, DVR 등 직접적으로 인터넷에 연결되며 관리가 소홀한 임베디드 장비였습니다. 최근까지도 Mirai를 변형한 많은 악성코드가 발견되고 있으며, 이번 신종 공격은 더욱 치밀한 취약점 대상화를 보여줍니다.
D-Link DIR-823X 취약점 CVE-2025-29635 상세
문제의 중심은 D-Link DIR-823X 제품에서 발견된 CVE-2025-29635 원격 코드 실행(RCE) 취약점입니다. 인증되지 않은 외부 공격자가 특별히 조작한 HTTP 요청 한 번으로 라우터 내부에서 임의의 시스템 명령을 실행할 수 있게 만듭니다. 이 장비는 D-Link 측의 공식 지원이 이미 2023년에 종료(EoL)됐다는 점이 가장 큰 문제로, 제조사로부터 추가 보안 패치 제공이 불가능합니다. 이번 취약점의 위험도는 국제 보안 기준(CVSS 3.1)에서도 최고 등급(9.8/10, critical)으로 분류될 정도로 심각합니다.
지원 종료(EoL) 라우터가 남기는 보안 공백
D-Link는 DIR-823X를 포함해 다수의 라우터 모델에 대해 이미 지원 종료(EoL)를 공지한 바 있습니다. 이 말은 펌웨어 업데이트, 보안 패치 제공 등의 지원이 완전히 중단됨을 의미하며, 알려진 취약점이 방치된 채로 남아 공격자의 쉬운 표적이 됩니다. 실제로 국내외 많은 사용자가 장비의 지원 종료 사실을 알지 못하거나, 비용 등의 이유로 교체를 미루면서 심각한 보안 사각지대가 발생하고 있습니다.
신규 Mirai 캠페인 동작 방식과 감염 확산 실태
다수의 보안 연구기관은 이번 캠페인이 CVE-2025-29635 취약점을 직접 악용해 D-Link DIR-823X 라우터를 타깃으로 한다고 밝혔습니다. 공격자는 취약한 라우터에 원격 접속 후 Mirai 변종 악성코드를 다운로드하여 실행시키고, 이렇게 감염된 장비는 곧바로 명령·제어(C2) 서버에 등록돼 DDoS 공격에 가담하게 됩니다. 실제 감염 장치 수가 빠르게 증가 중이며, 이미 수천 개 단위의 라우터가 Mirai 네트워크에 편입된 사실이 트래픽 분석을 통해 드러났습니다.
Mirai 봇넷 기반 DDoS 위협의 심각성
Mirai 봇넷의 가장 큰 특징이자 위협은 바로 규모의 확장성입니다. 보안 기능이 취약한 IoT 장비가 한 번 감염되면 자동으로 대규모 공격 인프라의 일부가 되어, 수만 대의 기기에서 동시다발적으로 DDoS 트래픽을 일으킬 수 있습니다. 과거 2016년 Dyn DNS 서비스 마비 사태 당시처럼, 단일 봇넷 기반 DDoS가 주요 웹사이트와 서비스(트위터, 넷플릭스, Reddit 등)를 하루아침에 다운시켰던 악몽이 재현될 위험이 있습니다. 지원 종료 라우터의 무방비 상태는 이러한 대형 피해의 빌미가 됩니다.
기업 및 개인 사용자의 보안 조치 가이드
현재 D-Link DIR-823X를 사용하고 있다면 가장 우선적으로 인터넷 연결을 긴급 차단하거나 기기를 즉각 사용 중지하시기 바랍니다. 장기적으로는 반드시 최신 보안 업데이트가 제공되는 네트워크 장비로 교체 계획을 세워야 하며, 불가피하게 기존 장비를 계속 써야 한다면 방화벽 설정을 통해 외부 인바운드 트래픽을 차단하는 등 네트워크 분리, 접근 제어 강화가 필수적입니다. 또, 네트워크 내 IoT 기기 목록을 주기적으로 점검하고, 취약점 모니터링 체계를 마련해 임박한 위협에 빈틈없이 대응하는 태도가 무엇보다 중요합니다.
IoT 보안의 구조적 과제와 시사점
이번 Mirai 신종 캠페인을 통해 확인할 수 있는 가장 큰 교훈은 노후 장비의 방치가 곧 신종 사이버 재앙으로 이어진다는 점입니다. 기본 관리자 계정 사용, 보안 패치 불가 장비의 지속적 사용, 시스템적 생명주기 관리 부재 등 구조적 취약점이 해커들에게 지속적으로 활용되고 있습니다. 기업·개인 모두 IoT 단말의 정기 점검과 EoL 장비의 적기 교체, 긴급 상황 시 정보 공유 체계 마련이 필수 과제로 대두되고 있습니다. 보안 업계 역시 EoL 장비에 대한 정보 공개 확대, 폐기 대상 장비 식별·인식 도구 보급 등 선제적 방어 시스템 마련을 서둘러야 할 시점입니다.
- 지원 종료 라우터는 보안 사각지대, 즉각 사용 중단·교체 권장
- Mirai 계열 변종은 지속적으로 진화 및 확산, 취약 IoT 기기 노출 주의
- 정기적인 네트워크 자산 점검·관리 및 위협 정보 모니터링 필수