핵심 요약
최근 보안업체 치안신(Qianxin) X랩이 전 세계 구형 라우터 4,000대 이상을 감염시켜 악성 트래픽을 중계하는 새로운 봇넷 ‘아리스팅어(AryStinger)’를 포착했다. 감염 장비는 원격 제어 가능한 ‘실행자(Executor)’로 전환돼 스캐닝, 프록시 설정, 터널링, 명령 실행 등 다수 악성 행위를 수행한다. X랩 텔레메트리는 전체 감염 기기 가운데 48.5%가 한국에 집중됐다고 보고했다. 보안업체는 기기 교체·펌웨어 업데이트·관리자 비밀번호 변경·원격 관리 비활성화를 권고했다.
핵심 사실
- 감염 규모: X랩 분석에서 아리스팅어는 전 세계에서 4,000대 이상 구형 라우터를 감염시킨 것으로 확인됐다.
- 지리 분포: 텔레메트리 기준 감염 장비의 48.5%가 한국에 집중되며, 중국 31.8%, 스웨덴 6.4%, 말레이시아 3.5%, 싱가포르 2.5% 순으로 나타났다.
- 주요 표적: 디-링크(D-Link)의 구형 모델 ‘DIR-850L’과 ‘DIR-818LW’가 핵심 표적이며, 과거 알려진 CVE-2013-3307, CVE-2016-5681, CVE-2025-11837 취약점을 악용한다.
- 기능: 감염 장비를 프록시로 활용해 악성 트래픽을 중계하고 DNS 설정을 변조해 브라우징을 하이재킹하거나 모든 인바운드·아웃바운드 트래픽을 모니터링·탈취할 수 있다.
- 구성 변종: C 기반 변종은 저사양 구형 라우터를 겨냥하고, Go 기반 변종은 NAS(네트워크 결합 스토리지)를 표적으로 삼아 보다 복잡한 스캐닝과 내부 정찰 기능을 수행한다.
- 스캔 설계: 공격자는 대규모 스캐닝 작업을 여러 작은 덩어리(Chunk)로 나눠 서로 다른 실행자에 병렬 배포해 정찰 효율을 높인다.
- 과거 연관: 해당 라우터 모델들은 2023년 루멘(Lumen)에 의해 차단된 ‘AVrecon’ 봇넷의 주요 타깃이기도 했다.
- 대응 권고: X랩은 구형 장비는 신모델로 교체하고 불가피할 경우 최신 펌웨어 적용, 관리자 비밀번호 변경, 원격 관리 패널 비활성화를 권고했다.
사건 배경
저비용·장수명 특성의 가정용 라우터와 NAS는 보안 업데이트가 중단되기 쉽고, 이에 따라 오래된 취약점이 장기간 노출되는 경향이 있다. 제조사 지원이 종료되거나 사용자가 펌웨어 업데이트를 수행하지 않으면 CVE 수준의 결함이 그대로 남아 악성코드의 침투 통로가 된다. 과거 대규모 IoT·라우터 봇넷(예: Mirai 계열)은 유사한 취약점과 약한 인증을 악용해 대량의 장비를 확보했고, AVrecon 사례도 동일 모델을 반복 표적화한 전례를 남겼다. 이런 환경에서 공격자들은 상대적으로 손쉬운 확보 대상(구형 라우터·NAS)을 노리고, 확보한 자원을 통해 추가 공격(스캔·중계·정보 탈취)을 확장한다.
한국에 감염이 집중된 배경은 다층적이다. 특정 모델의 국내 보급률, 이용자의 펌웨어 적용 비율, 인터넷 서비스 제공 사업자(ISP)의 네트워크 정책 등이 복합적으로 작용할 수 있다. 다만 현재까지 공개된 데이터는 텔레메트리 기반이므로 지역별 실제 감염 원인과 경로는 추가 조사로 확인해야 한다. 국제적으로는 공급망·펌웨어 관리 문제와 함께 라우터·NAS 제조사의 보안지원 체계가 재조명되는 계기가 되고 있다.
주요 사건 전개
치안신 X랩은 아리스팅어를 발견하고 분석 결과를 공유했다. 연구진은 이 악성코드가 감염된 장비를 ‘실행자’로 전환해 원격 명령을 받고 다양한 네트워크 작업을 수행한다고 설명했다. 실행자는 스캐닝(대상 탐지), 프록시 설정(트래픽 중계), 터널링, 쉘 명령 실행 등을 수행할 수 있으며, 일부 변종은 Go 기반으로 NAS를 직접 겨냥해 더 복잡한 정찰 기능을 수행한다.
특징적인 공격 설계로는 스캔 작업을 여러 작은 청크로 분할해 서로 다른 실행자에 분산 배포하는 방식이 있다. X랩은 이 방식이 초기 정찰 속도를 높이고 후속 침투 성공 확률을 끌어올린다고 평가했다. 또한 아리스팅어는 감염 장비의 DNS 설정을 변조해 사용자의 웹 트래픽을 하이재킹하거나 트래픽 내용을 수집·탈취하는 능력을 보였다.
행동 패턴 분석에서는 C 기반 변종이 메모리·성능이 낮은 구형 라우터에 적합하도록 최적화된 반면, Go 기반 변종은 오픈소스 침투 테스트 도구를 통합해 IP·DNS 스캐닝과 내부 네트워크 정찰을 수행하며, 호스트에서 Go·Java·Python 소스 코드를 직접 실행할 수 있는 기능을 포함한다는 점이 확인됐다. 현재까지 아리스팅어의 배후 조직은 공개적으로 규명되지 않았다.
분석 및 의미
첫째, 대규모 스캐닝·프록시 인프라로서 확보된 장비는 범죄 인프라(스팸·프록시 서비스·익명화·사이버공격 중계)에 재활용될 위험이 크다. 감염된 라우터가 인터넷 중계 지점이 되면 추적과 차단이 어려워지고, 국가 간 트래픽 오염 및 악성 행위의 은폐가 촉진된다. 이러한 위협은 기업·정부의 네트워크 운영뿐 아니라 개인의 프라이버시에도 직접적 영향을 미친다.
둘째, 국내 감염 비중(48.5%)은 보안 정책·장비 보급 구조의 취약성을 시사한다. 통신사업자와 제조사는 펌웨어 배포 정책, 리콜·교체 프로그램, 보안 업데이트 알림 체계를 강화할 필요가 있다. 정부 차원의 노후 장비 지원이나 보안 점검 프로그램 도입도 검토 대상이다.
셋째, Go 기반 변종이 NAS를 표적으로 삼는 것은 공격의 목적이 단순 중계에서 내부 데이터 수집·정찰로 확장될 수 있음을 뜻한다. NAS는 기업·가정의 중요 데이터 저장소로, 권한 획득 시 내부 네트워크 확산 및 민감정보 유출로 이어질 가능성이 높다. 따라서 기업·기관은 내부 NAS의 접근 제어·로그 모니터링을 강화해야 한다.
비교 및 데이터
| 국가 | 감염 비중(%) | 비고 |
|---|---|---|
| 한국 | 48.5 | 텔레메트리상 최대 집적 |
| 중국 | 31.8 | 고보급률 모델 존재 |
| 스웨덴 | 6.4 | 소수지만 분포 확인 |
| 말레이시아 | 3.5 | 지역적 확산 사례 |
| 싱가포르 | 2.5 | 해외 연계 가능성 |
위 표는 X랩 텔레메트리 기준 분포를 비교한 것으로, 한국·중국에 감염이 집중되어 있음을 보여준다. 과거 2023년 루멘(Lumen)에 의해 차단된 AVrecon 사례도 동일한 디-링크 모델을 주로 노린 바 있어, 특정 하드웨어의 반복 표적화 경향이 확인된다. 다만 텔레메트리는 탐지 기반 데이터이므로 실제 보유 장비 수·활성 감염 수와는 차이가 있을 수 있다.
반응 및 인용
치안신 X랩은 기술적 권고와 함께 사용자 대응을 촉구했다. 이 권고는 감염 장비를 조속히 교체하거나 보안 조치를 적용하라는 실무적 지침을 포함한다.
수명이 종료된 장비는 교체하고 펌웨어를 최신으로 유지해야 합니다.
치안신(Qianxin) X랩(보안업체)
정부·업계 관계자들은 집적된 감염 비중이 높은 국가에서의 협업 필요성을 지적했다. ISP·제조사·보안업체 간 조율을 통한 신속 대응 체계가 강조된다.
국가적 수준의 모니터링과 제조사 협력을 통해 리스크를 축소해야 합니다.
통신업계 관계자(익명, 산업계)
일부 보안 전문가는 아리스팅어가 단순 중계 기능을 넘어 장기적 정보수집 인프라로 발전할 가능성을 경계했다. 관련 장비의 교체와 내부 네트워크 감시 강화를 권고했다.
Go 변종의 NAS 표적화는 내부 데이터 유출 위험을 높입니다.
보안 연구자(익명, 학계/업계 연계)
불확실한 부분
- 배후 정체: 아리스팅어를 유포·운영하는 특정 해킹 조직의 신원은 아직 공개적으로 규명되지 않았다.
- 정확한 감염 경로: 텔레메트리 데이터는 감염 분포를 보여주나, 초기 침투 경로(예: 공급망·원격 취약점 악용·취약한 인증 중 어느 경로 비중이 큰지)는 추가 조사가 필요하다.
- 실제 피해 범위: 보고된 4,000대 이상의 감염 수치는 탐지 기반 추정치로, 실제 활성화·악용 정도는 더 상세한 현장 조사로 확인해야 한다.
총평
아리스팅어 사건은 오래된 네트워크 장비가 지속적 위협의 근원이라는 점을 다시 한번 확인시켰다. 특히 국내에 감염이 집중된 점은 정책·제조사·사용자 차원의 즉각적 대응이 필요함을 시사한다. 제조사는 보안지원 주기와 펌웨어 배포 체계를 재검토해야 하며, ISP와 정부는 노후 장비 교체 지원과 네트워크 수준의 방어를 강화할 필요가 있다.
사용자 관점에서는 즉시 가능한 조치(펌웨어 업데이트, 관리자 비밀번호 변경, 원격 관리 비활성화)를 우선 적용하고, 가능하면 기기 교체를 고려해야 한다. 향후 이와 유사한 봇넷의 진화는 NAS·IoT 기기 전반의 보안 취약성을 악용하는 방향으로 전개될 가능성이 높으므로 장기적 관점의 인프라 보강과 국제 공조가 요구된다.