정용환 기자
미국과 영국 사이버 보안 당국과 법 집행 기관이 러시아 정부가 지원하는 해커 집단 샌드웜(Sandworn)이 이용하고 있는 새로운 악성코드인 사이클롭스 블링크(Cyclops Blink)에 대해 경고하고 있다.
2019년 6월 이후 샌드웜 운영자 봇 인터넷을 만드는데 도움이 되는 사이크롭스 블링크라는 악성코드가 워치가드 파이어박스(WatchGuard Firebox)나 소호 네트워크 장치를 대상으로 작동하는 게 확인됐다.
영국 사이버 보안 센터인 NCSC는 사이클롭스 블링크라는 멀웨어가 2018년 공개된 멀웨어인 VPN필터(VPNFilter)를 대체하는 것으로 샌드웜이 네트워크에 원격으로 액세스할 수 있게 해준다며 사이클롭스 블링크는 VPN필터와 마찬가지로 무차별하게 퍼지고 있는 것으로 보인다고 경고했다.
NSCS에 따르면 사이클롭스 블링크는 워치가드 장치에 배포하지만 샌드웜은 다른 아키텍처와 펌웨어를 위해 사이클롭스 블링크를 컴파일할 수 있다고 한다. 더구나 타깃인 워치가드 개발자는 사이클롭스 블링크가 비즈니스 고객이 주로 사용하는 단말기에 활성인 워치가드 방화벽 어플라이언스 1%에 영향을 미쳤을 가능성이 있다고 설명하고 있다.
NCSC, FBI, CISA, NSA 같은 기관 분석에 따르면 사이클롭스 블링크는 명령과 제어 서버로 파일을 업로드, 다운로드하고 터미널 정보를 수집하고 도용한다. 사이클롭스 블링크에는 멀웨어를 업데이트하기 위해 특별히 개발된 모듈도 포함되어 있다고 한다. 사이클롭스 블링크는 감염 기기 내 합법적인 펌웨어 업데이트 채널을 활용해 악성코드를 삽입하고 다시 패키징한 펌웨어 이미지를 배포해 침해된 시스템에 대한 액세스를 유지한다.
NCSC에 따르면 사이클롭스 블링크는 재시작할 때와 정당한 펌웨어 업데이트 절차 전반에 걸쳐 지속하기 때문에 영향을 받는 조직은 멀웨어를 제거하기 위한 조치를 취할 필요가 있다고 한다.
또 워치가드는 FBI, CISA, NCSC와 긴밀하게 협력해 비표준 업그레이드 프로세스를 통해 워치가드 장치에서 사이클롭스 블링크를 검색, 삭제할 수 있는 도구와 지침을 제공한다. 사이클롭스 블링크에 감염된 장치 모든 계정은 침해된 것으로 간주되어야 하기 때문에 조직은 영향을 받은 네트워크 장치 관리 인터페이스에 대한 인터넷 액세스를 곧바로 제거해야 한다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
