정용환 기자
2023년 10월 25일부터 며칠간 윈드스트림(Windstream)이라는 ISP 사용자가 잇따라 라우터가 갑자기 작동하지 않고 재부팅이나 리셋도 되지 않는다고 보고했다. 미국 통신서비스기업 루멘(Lumen) 산하 사이버위협연구 및 운영부서인 블랙로터스랩스(Black Lotus Labs)가 5월 30일 발표한 보고서에 따르면 일련의 사태는 알려지지 않은 공격자에 의한 악성코드 공격 때문이었고 무려 라우터 60만 대가 파괴됐다고 한다.
윈드스트림은 주로 미국 농촌 지역에서 인터넷통신을 제공하는 ISP이며 2023년 기준 가입자 160만 명이 있었다. 2023년 10월 25일 이 윈드스트림을 쓰는 사용자로부터 라우터가 고장 나서 인터넷을 사용할 수 없다는 보고가 올라왔다.
어떤 사용자는 해외 커뮤니티 레딧에 T3200 모델 모뎀을 사용한 지 얼마 되지 않았는데 오늘 전에는 겪어보지 못한 일이 발생했다며 인터넷 램프가 빨간색으로 켜져 있는데 이게 해결되겠냐는 게시물을 올렸다. 비슷한 보고가 10월 25일부터 며칠 동안 계속됐고 사용자는 라우터가 리셋 버튼에도 반응하지 않아 인터넷을 사용하지 못해 여러 가지 피해를 입었다고 주장했다.
결국 윈드스트림은 피해를 입은 라우터가 사용 불가능하다고 판단하고 영향을 받은 사용자에게 새 라우터를 보내 문제를 해결했다.
5월 30일 블랙로터스랩스가 지난해 10월 25∼27일까지 72시간 동안 발생한 단일 ISP에 속한 60만 대 이상 라우터가 영구적으로 작동 불가능해진 파괴적 사건에 관한 보고서를 발표했다. 이 보고서에는 ISP 이름이 직접 명시되어 있지는 않지만 언급된 문제가 된 내용과 규모로 봐서 윈드스트림일 것으로 추정된다며 블랙로터스랩스는 이 사건을 할로윈 무렵에 일어났다는 점에 착안해 펌킨 이클립스(Pumpkin Eclipse)라고 명명했다.
블랙로터스랩스에 따르면 최소 60만 대로 추정되는 라우터가 신원 불명 위협 행위자에 의해 공격을 당했다고 한다. 공격자는 맞춤 개발한 툴킷이 아닌 챌루보(Chalubo)라고 불리는 상용 악성코드를 사용해 공격을 수행했다고 한다.
챌루보에 내장된 기능으로 인해 공격자는 라우터 상에서 커스텀 루아(Lua) 스크립트를 실행하고 라우터 펌웨어를 영구적으로 덮어썼을 것으로 추정된다. 블랙로터스랩스는 보고서에서 악의적인 펌웨어 업데이트가 라우터 정지를 의도적으로 유발한 공격이었다고 강하게 확신한다고 설명했다.
이번 공격 특징으로는 60만 대가 넘는 라우터가 일시에 파괴되어 교체할 수밖에 없었다는 점, 기존 공격이 대부분 특정 라우터 모델이나 일반 취약점을 노렸던 반면 이번에는 특정 ISP에 국한됐다는 점이 꼽힌다.
블랙로터스랩스는 지금까지는 일련의 라우터 파괴 공격 배후에 국가 수준 사이버범죄조직이 있다고 보지 않지만 그 가능성은 배제할 수 없다고 밝혔다. 또 라우터에 악성코드가 첫 감염 경로를 특정하지 못했고 해커가 악용한 라우터 취약점 역시 인지하지 못했다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
