파이어아이는 시스코가 공급하고 있는 일부 라우터에 악성코드를 심어 내부 시스템에 침투할 수 있는 공격수법이 실제로 악용되고 있다는 사실을 밝혀냈다.
15일(현지시간) 파이어아이는 자사 보안블로그를 통해 일명 'SYNful Knock'라는 정교한 기술을 쓴 악성소프트웨어가 우크라이나, 필리핀, 멕시코, 인도 등 4개국에서 사용되고 있는 시스코 라우터를 대상으로 14차례 공격에 악용됐다고 설명했다.
SYNful Knock는 라우터의 펌웨어를 조작하는 방법으로 공격대상 네트워크에 침입을 시도한다.
시스코 라우터의 경우 IOS 이미지라고 불리는 영역을 수정해 공격자가 악성소프트웨어 모듈을 해당 라우터에 설치할 수 있도록 했다. 이를 통해 공격자가 마음대로 드나들 수 있는 백도어(뒷문)를 설치한다는 것이다.
관련기사
- 위성통신도 악용하는 사이버스파이 그룹 발견2015.09.16
- 클라우드 보안회사, DDoS에 라우터 마비2015.09.16
- 화웨이, 보안취약점논란…獨해커에 SOS2015.09.16
- “화웨이 라우터, 해킹 너무 쉽다”2015.09.16
파이어아이에 따르면 각각 모듈은 HTTP 프로토콜을 사용하는 네트워크에서만 작동하며, 특수제작한 TCP패킷을 보내는 탓에 일반적인 네트워크보안기술로 탐지하기가 어려운 고도의 해킹수법이 쓰인 것으로 알려졌다. 현재 영향을 받은 라우터는 시스코 1841/2811/3825 라우터로 확인됐다.
외신에 따르면 지난달 이 문제를 확인한 시스코는 "(라우터에서 발견된) 취약점 때문에 발생한 문제는 아니다"라며 "공격자가 네트워크 관리자에게 허용된 계정정보를 훔쳐냈거나 공격자들이 직접 물리적으로 라우터에 접속했을 가능성이 있다"고 해명했다.
