미국 연방 수사국 FBI가 러시아제 멀웨어에 감염된 에이수스(ASUS)와 워치가이드(WatchGuard)제 네트워크 기기에 원격 접속해 멀웨어를 삭제했다고 발표했다. FBI는 삭제만으로는 부적절한 대응으로 장치 관리자에게 적절한 대응을 요청했다.
이번에 FBI가 삭제를 보고한 건 러시아연방군 참모본부정보총국 GRU 기술팀에 속하는 해커 그룹 샌드웜이 사용하는 봇넷 멀웨어인 사이클롭스블링크(Cyclops Blink)다. 사이클롭스블링크 존재가 확인된 건 2019년 6월경으로 2022년 2월에는 전 세계에서 사용되고 있는 워치가이드제 방화벽 어플라이언스 1%에 영향을 주고 있는 것으로 보고됐다.
이에 따라 워치가이드는 FBI 등 수사기관과 제휴해 사이클롭스블링크 검출 방법과 삭제 방법을 공개했다. 또 판매하는 네트워크 기기가 사이클롭스블링크 영향을 받는 것으로 밝혀진 에이수스도 워치가이드와 마찬가지로 대응 방법을 공개했다.
FBI에 따르면 워치가이드와 에이수스에 의한 대응 방법 공개로 기기 수천 대로부터 사이클롭스블링크가 제거됐지만 2022년 3월 시점 대부분 기기는 사이클롭스블링크에 감염된 상탱였다고 한다. 따라서 FBI는 법원 승인을 받아 사이클롭스블링크에 감염된 전 세계 네트워크 장비 수천 대에 원격 액세스해 사이클롭스블링크를 삭제했다.
FBI는 이번 작전에선 자동 스크립트에 의해 장치 일련 번호 수집과 멀웨어 삭제를 실시했다고 밝혔다. 하지만 보도에선 FBI가 서버에 원격 액세스해 어떤 조작을 하는 건 조작 실수에 의한 심각한 손해나 프라이버시 침해로 이어질 우려도 존재한다고 지적했다 이런 우려에 대해 한 보안 전문가는 법 집행기관이 관리 하에 없는 서버에 액세스하고 수정을 수행하는 건 위험하다고 생각하지만 이번 사례에선 장점이 위험을 능가했다는 게 중요하다고 밝혔다.
덧붙여 FBI는 워치가이드와 에이수스가 밝힌 대응책을 실시하지 않는 한 공격에 취약한 상태가 계속된다면서 네트워크 기기 관리자에게 대책 실시를 요구하고 있다. 관련 내용은 이곳에서 확인할 수 있다.