중국 연계 국가 지원 위협 행위자와 연결된 JDY 봇넷이 SOHO(Small Office/Home Office) 및 IoT(Internet of Things) 장치 1,500대 이상으로 확장된 상태로 확인됐다. Lumen의 블랙로터스 연구팀은 이 봇넷이 중앙 통제형 고성능 스캐너로 작동하며 표적 서비스의 지속적 발견, 핑거프린팅, 매핑을 수행한다고 분석했다. 본문에서는 JDY 봇넷의 기술 구조와 국내 중소기업·재택근무 환경이 직면한 현실적 위험, 그리고 실무 차원의 대응 절차를 정리한다.
- 중국 연계 JDY 봇넷이 SOHO·IoT 1,500대 이상을 장악해 중앙 통제형 정찰 인프라로 운용되고 있음
- Lumen 블랙로터스 연구팀은 표적 서비스 발견, 핑거프린팅, 지속적 매핑 기능을 확인함
- 에지 단 가시성 공백과 미관리 IoT 자산이 정찰형 위협의 주요 진입점이 될 가능성이 있음
JDY 봇넷은 직접적인 파괴 공격 이전 단계의 정찰 인프라이므로, SOHO·IoT 자산 가시성과 펌웨어 관리 수준이 곧 조직의 초기 침해 저항력을 결정한다.
JDY 봇넷의 현재 위협 규모와 재확산 의미
2026년 6월 10일 The Hacker News에 게재된 기사에 따르면, JDY 봇넷은 중국 연계 국가 지원 위협 행위자와 연관된 은밀한 네트워크로 재확산 흐름을 보이고 있다. 보고서에서 확인된 장치 규모는 1,500대 이상의 SOHO 및 IoT 장비이며, 단순한 감염 통계가 아니라 ‘중앙 통제가 가능한 단일 정찰 플랫폼’이라는 점에서 의미가 크다. 즉, 개별 좀비 장치가 산발적으로 동작하는 것이 아니라, 운영자가 표적을 선별하고 스캔 정책을 일괄 조정할 수 있는 구조라는 해석이 가능하다.
이와 같은 재확산 양상은 과거 봇넷이 퇴조했다가 새로운 변종으로 부활하는 일반적 패턴과 유사하지만, JDY의 경우 국가 지원 행위자가 운용하는 정찰 전용 인프라인 점이 기존 봇넷 사례와 차별화되는 특징으로 평가된다. 따라서 감염된 장치 1대 1대의 가치가 낮더라도, 이를 통해 축적되는 표적 정보의 가치는 전략적으로 매우 높다고 평가된다.
SOHO·IoT 1,500대를 장악한 기술적 작동 방식
Lumen이 확인한 지속적 서비스 발견과 핑거프린팅 메커니즘
Lumen 블랙로터스 연구팀은 JDY 봇넷이 표적 서비스의 지속적 발견(discovery), 핑거프린팅(fingerprinting), 매핑(mapping)을 수행한다고 기록했다. 여기서 핑거프린팅이란, 운영체제, 오픈 포트, 서비스 배너, 특정 애플리케이션 시그니처 등을 식별해 해당 시스템의 소프트웨어 스택과 취약점 노출 가능성을 추정하는 행위를 의미한다. JDY는 이러한 정찰 결과를 누적해 후속 침투 단계의 효율을 높이는 것으로 분석된다.
특히 SOHO 라우터, IP 카메라, NAS(Network Attached Storage) 같은 장치는 기본 비밀번호·오래된 펌웨어가 흔하며, 외부에서 관리 콘솔에 직접 접근 가능한 사례가 적지 않다. 공격자 입장에서는 이런 장비가 1차 침투 거점이면서 동시에 표적 네트워크 내부의 토폴로지를 파악하는 정찰 노드 역할을 동시에 수행할 수 있다.
중앙 통제형 고성능 스캐너 구조와 표적 선별 능력의 위험성
JDY의 핵심 위험 요소는 ‘중앙 통제형 고성능 스캐너’ 구조에 있다. 다수의 좀비 장치가 동시에 스캔을 분산 수행하므로 단일 IP 기준으로는 정상 트래픽 수준으로 보일 수 있다. 또한 C2(Command and Control) 서버가 스캔 대상, 주기, 페이로드 정책을 동적으로 변경할 수 있어, 정적 차단 규칙만으로 대응하기 어렵다.
| 구성 요소 | 역할 | 보안상 시사점 |
|---|---|---|
| SOHO 라우터/IoT 좀비 1,500대+ | 분산 스캔 노드 | 정상 트래픽으로 위장 가능, 단위 차단 효과 제한 |
| 중앙 C2 인프라 | 스캔 정책 통제, 표적 선별 | 정책 동적 변경으로 시그니처 기반 탐지 우회 |
| 정찰 데이터 수집 모듈 | 서비스·배너·포트 매핑 | 후속 침투용 표적 목록 축적 |
국내 중소기업과 재택근무 환경이 직면한 현실적 위험
에지·공급망 단의 가시성 공백
국내 다수 중소기업과 재택 환경은 본사 데이터센터에 적용되는 SIEM(Security Information and Event Management), EDR(Endpoint Detection and Response) 같은 가시성 체계가 에지·재택 구간까지 확장되지 않는 경우가 많다. 그 결과 SOHO 라우터, 공유 프린터, 가정용 NAS, 스마트 IoT 기기는 ‘보안 사각지대’에 놓이기 쉽다. JDY와 같은 분산 정찰 봇넷은 바로 이 사각지대를 노려, 조직 내부의 취약 지점을 외부에서 미리 파악한다.
공급망 관점에서도 위험은 누적된다. 협력사·외주 인력의 재택 네트워크가 감염되면, 본사 VPN(가상 사설망) 진입 시 정상 사용자 트래픽과 악성 행위가 혼재되어 탐지 난이도가 크게 올라간다. 이는 JDY의 분산 정찰 능력이 본사 보안의 가시성 사각지대를 악용할 수 있음을 의미한다.
대응 전략과 강화 권고
Lumen 보고서 기반 추가 위협 인텔리전스 연계 방법
먼저 Lumen 블랙로터스 연구팀이 공개한 JDY 관련 지표(IP, 포트, 페이로드 패턴 등)를 내부 위협 인텔리전스 플랫폼과 SIEM에 등록해 상관 탐지 규칙을 강화할 필요가 있다. 사내에서 직접 Lumen 보고서를 구독하기 어려운 경우, 국가사이버안보센터·KISA(한국인터넷진흥원)·업무 협약된 상용 위협 인텔리전스 피드를 통해 동일한 지표를 확보할 수 있다. 또한, 공격 인프라가 변경될 가능성을 고려해 주기적인 지표 갱신 프로세스를 마련하는 것이 권고된다.
SOHO·IoT 자산 점검, 펌웨어 관리, 네트워크 분리 체크리스트
실무 차원의 즉각 대응을 위해 다음 체크리스트를 적용할 수 있다.
- SOHO 라우터/IoT 기기 목록을 작성하고 최신화하고, 기본 비밀번호 사용 여부를 점검한다.
- 제조사 펌웨어 업데이트를 분기 1회 이상 적용하고, EOL(End of Life) 모델은 교체 또는 폐기한다.
- 관리 콘솔을 외부에 직접 노출하지 않고, VPN 또는 점프 서버 경유로만 접근하도록 제한한다.
- IoT 네트워크를 업무 네트워크와 VLAN(가상 근거리 통신망)으로 분리해 내부 이동 경로를 차단한다.
- 이상 트래픽(비정상 포트 스캔, 야간 대량 외부 연결 등) 발생 시 자동 알람이 트리거되도록 설정한다.
이러한 항목은 JDY 단일 위협뿐 아니라 유사한 정찰형 봇넷 전반에 적용 가능한 기본 통제 항목으로, ‘검토 필요’ 수준의 우선 과제로 분류해 추진하는 것이 적절하다.
정찰 단계 공격을 차단하기 위한 운영 원칙
정찰 단계의 공격은 ‘침해가 시작되기 전의 신호’다. JDY 봇넷과 같은 인프라가 표적 기업을 광범위하게 매핑하고 있다는 사실 자체가, 향후 표적형 침해의 전조가 될 수 있다. 따라서 보안 조직은 ‘침해가 발생했을 때 대응한다’는 사후 대응 자세에서 벗어나, 정찰 시그널을 조기에 포착하는 운영 원칙으로 전환할 필요가 있다.
구체적으로는 첫째, 외부 노출 자산에 대한 정기적 점검, 둘째, 공급망·원격근무 구간 가시성 확보, 셋째, 위협 인텔리전스 기반 선제 차단 규칙 운용의 세 축을 동시에 강화해야 한다. JDY 봇넷 사례는 이 세 가지 축이 모두 균형을 이루어야 효과적임을 다시 한번 확인시켜 준다. 본문에서 정리한 항목들은 모두 Lumen 보고서와 공개된 위협 정보를 토대로 한 실무 권고 사항이며, 조직의 환경에 따라 세부 적용 수준은 추가 검토가 필요하다.
핵심 정리
- JDY 봇넷은 1,500대 이상의 SOHO·IoT를 중앙 통제형 스캐너로 운용하는 정찰 전용 인프라다.
- Lumen은 표적 서비스 발견, 핑거프린팅, 지속적 매핑 기능을 확인했으며, 이는 후속 침투의 사전 정찰로 활용될 가능성이 높다.
- 국내 중소기업과 재택 환경은 에지·공급망 단의 가시성 공백 때문에 주요 정찰 대상이 될 수 있다.
- 실무 대응은 위협 인텔리전스 연계, SOHO·IoT 자산 점검, 네트워크 분리를 동시에 추진하는 것이 권고된다.
참고 자료: The Hacker News 기사, Dark Reading 분석