기술 기업 루멘(Lumen) 사이버보안 부문(Black Lotus Labs) 연구팀이 지원이 종료된 SOHO 라우터와 IoT 기기를 대상으로 한 4만 건에 이르는 봇넷을 발견했다고 보고했다.
연구팀에 따르면 전 세계 사이버 범죄 그룹이 몇 년에 걸쳐 전 세계에 존재하는 SOHO 라우터와 IoT 기기를 대상으로 한 공격 캠페인을 벌이고 있다. 문제의 봇넷은 2014년에 처음 확인됐고 2024년 2월 시점에는 4만 건으로 확대되어 대상 기기에서 은밀히 가동되고 있다고 경고하고 있다.
연구팀은 이들 봇넷 대부분은 페이스리스(Faceless)라고 불리는 사이버 범죄 그룹을 위한 프록시 서비스 기반으로 사용되고 있다고 말한다. 조사를 통해 이 봇넷으로 인해 페이스리스 사용자 수가 주당 7,000명 가까이 증가하고 있다는 게 드러났다고 설명했다. 페이스리스는 익명성이 높아 사이버 범죄 그룹의 활동이 탐지되지 않게 해주는 필수 도구가 되고 있다고 한다.
연구팀에 따르면 사이버 범죄 그룹은 제조사 지원이 종료된 오래된 기기에 봇넷을 침투시켜 페이스리스 네트워크에 등록했다. 연구팀이 확인한 페이스리스 일부 논리적 맵은 2024년 3월 첫째 주에 구축됐으며 72시간 내에 에이수스 라우터 6,000대가 표적이 됐다.
사이버 범죄 그룹은 기존 보안 취약점에 패치가 적용되지 않아 제조사 지원이 중단된 기기를 의도적인 표적으로 삼고 있으며 연구팀은 이런 기기는 설치한 걸 잊거나 연결된 채로 방치되어 있을 수 있다고 지적했다.
이에 연구팀은 취약한 인증 정보나 의심스러운 로그인 시도를 조기 감지하고 패스워드 스프레이 공격을 수행하는 봇으로부터 데이터와 자산을 보호하기 위해 적절한 방화벽을 설정해 봇 공격을 차단할 것을 촉구했다.
또 연구팀은 라우터를 정기적으로 재부팅해 보안 업데이트와 패치를 설치하고 기기가 일반적인 기본 패스워드를 사용하지 않으며 라우터 관리 인터페이스가 적절히 보호되는지 확인할 걸 경고했다. 기기 지원이 종료되면 가능한 한 빨리 교체할 것을 권장했다. 관련 내용은 이곳에서 확인할 수 있다.