트래픽 중계부터 DNS 하이재킹까지... 네트워크 감시 위험

[보안뉴스 한세희 기자] 세계 곳곳의 구형 라우터 4000대 이상을 감염시켜 악성 트래픽을 중계하는 프록시로 악용하는 신종 봇넷 ‘아리스팅어’(AryStinger)가 포착됐다.

보안 기업 치안신(Qianxin) X랩 위협 인텔리전스 팀에 따르면, 이 악성코드는 감염된 디바이스를 원격 제어가 가능한 이른바 ‘실행자’(Executor)로 전환한다. 공격자는 이를 통해 스캐닝, 프록시 설정, 터널링, 명령 실행 등 다양한 악성 행위를 수행할 수 있다.

X랩 연구원들은 “공격자가 대규모 스캐닝 작업을 여러 개의 작은 뭉치(Chunck)로 분할한 뒤, 이를 서로 다른 ‘실행자’에 배포해 병렬로 실행할 수 있다”고 밝혔다.

이러한 분산형 설계로 공격자는 초기 정찰 활동을 효율적으로 완료할 수 있으며, 이는 후속 침투 작업의 성공 확률을 높이는 발판이 된다.


또 아리스팅어는 감염된 기기의 DNS 설정을 변조해 사용자 웹 브라우징을 하이재킹하거나, 기기로 오고 가는 모든 인바운드 및 아웃바운드 네트워크 트래픽을 몰래 모니터링하고 탈취할 수도 있다.

주로 디-링크(D-Link) 구형 모델 ‘DIR-850L’ 및 ‘DIR-818LW’ 라우터가 아리스팅어의 표적이 되고 있다. 이미 알려진 보안 취약점 CVE-2013-3307과 CVE-2016-5681, CVE-2025-11837 등을 악용하는 것으로 확인됐다.

이 두 모델은 2023년 루멘(Lumen)에 의해 차단된 ‘AV레콘’(AVrecon) 봇넷의 주요 타깃이기도 했다.

X랩 텔레메트리 데이터에 따르면, 전체 감염 기기의 48.5%가 한국에 집중된 것으로 나타났다. 중국(31.8%), 스웨덴(6.4%), 말레이시아(3.5%), 싱가포르(2.5%) 등이 뒤를 이었다.

아리스팅어는 C 기반 및 Go 기반의 두 변종이 있는 것으로 파악됐다. C 언어 기반 변종은 주로 성능이 낮은 구형 라우터를 겨냥하고, Go 언어 기반 변종은 네트워크 결합 스토리지(NAS) 시스템을 겨냥한다.

특히 NAS를 겨냥한 Go 버전은 IP 및 DNS 스캐닝, 내부 네트워크 정찰 등을 위해 오픈소스 침투 테스트 도구를 통합하는 등 보다 발전된 기능을 갖췄다. 또 쉘(Shell) 명령뿐만 아니라 Go, 자바, 파이썬 소스 코드를 호스트에서 직접 실행할 수도 있다.

현재 아리스팅어 배후 해킹 조직은 규명되지 않았다.

X랩 관계자는 “수명이 종료된 구형 라우터는 신형 모델로 교체하고, 교체가 어렵다면 최신 펌웨어 업데이트 적용과 관리자 비밀번호 변경, 원격 관리 패널 기능 비활성화가 필요하다”고 권고했다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>