백도어는 탐지를 회피하며 펌웨어 업데이트에도 살아남는다
수천 대의 Asus 라우터가 ‘AyySSHush’라는 새로운 봇넷에 감염된 사실이 밝혀졌습니다. 사이버 보안 회사 GreyNoise가 2025년 3월에 탐지한 이 은밀한 공격은 인증 취약점을 악용하고 라우터 고유 기능을 활용하여 장기간 접근 권한을 유지하는 것이 특징입니다. 특히 주목할 점은 이 백도어는 어떠한 악성코드도 사용하지 않으며, 일반적인 펌웨어 업데이트만으로는 무단 접근을 제거할 수 없다는 것입니다.
공격은 위협 행위자들이 무차별적인 로그인 시도와 인증 우회 기술을 통해 라우터를 표적으로 삼으면서 시작됩니다. 이 과정에는 CVE가 할당되지 않아 문서화되지 않은 우회 기술도 포함되어 있습니다. 일단 침입에 성공하면, 공격자들은 알려진 명령어 주입 취약점인 CVE-2023-39780을 악용하여 임의의 시스템 수준 명령을 실행합니다. 이 기법을 이용해 공격자들은 펌웨어 내의 정상적인 기능을 이용하여 라우터 설정을 조작할 수 있게 됩니다.
공격자들은 지속적인 접근을 유지하기 위해 공식 Asus 라우터 기능을 악용합니다. 또한 표준 포트가 아닌 TCP 53282 포트에서 SSH를 활성화하고 자신들만의 공개 SSH 키를 등록하여 원격 관리 통제권을 확보합니다. 더욱 심각한 문제는 이 백도어가 라우터의 비휘발성 메모리(NVRAM)에 기록된다는 점입니다. 따라서 펌웨어 업데이트나 장치 재부팅을 하더라도 백도어가 살아남습니다. 여기에 더해, 시스템 로깅과 라우터의 AiProtection 보안 기능을 비활성화하여 감지망 자체를 무력화시킵니다.
[관련 보도]
- DoJ, 163개국에 걸친 36만 대 감염된 라우터 및 IoT 장치 봇넷 해체
- 연구원들, 다수의 액세스 포인트에 영향을 미치는 대규모 Wi-Fi 취약점 발견
GreyNoise의 보고서에 따르면, 공격자들이 사용한 기술들은 장기적인 접근을 목표로 하는 치밀한 계획을 시사하며 시스템 아키텍처에 대한 깊은 이해를 보여줍니다. 전 세계 인터넷 연결 장치를 모니터링하고 매핑하는 플랫폼인 Censys의 데이터에 의하면 9,000대 이상의 Asus 라우터가 감염된 것으로 확인되었습니다. Censys는 인터넷에 노출된 장치 자체를 파악하는 반면, GreyNoise는 이들 중 현재 어떤 장치가 실제로 표적이 되거나 악용되고 있는지를 감지합니다. 이 두 가지 데이터는 진행 중인 캠페인의 규모와 은밀함을 보다 명확하게 보여줍니다.
이 취약점은 GreyNoise의 AI 기반 분석 도구인 'Sift'를 통해 발견되었습니다. Sift는 Asus 라우터 엔드포인트를 대상으로 하는 단 3개의 HTTP POST 요청만을 플래그 지정하여 심층 분석을 진행했으며, 이 요청들은 공장 기본 펌웨어를 사용하는 에뮬레이션된 Asus 프로필을 통해 관찰되었습니다. 놀랍게도, Sift는 수천 대의 기기가 감염된 상황에서도 3개월 동안 악성 요청은 단 30건만을 감지하는 데 그쳤습니다.
Asus 측은 CVE-2023-39780 및 초기에 알려지지 않았던 로그인 우회 기술을 해결하는 새로운 펌웨어 업데이트를 출시했습니다. 하지만 이 업데이트는 근본적인 예방책 이상의 의미를 지니기 어렵습니다. 이미 악용된 라우터의 경우, 펌웨어 업그레이드를 진행하더라도 SSH 백도어를 제거할 수 없습니다. 그 이유는 악성 구성 변경 사항이 비휘발성 메모리(NVRAM)에 저장되어 있기 때문에 일반적인 펌웨어 업그레이드 과정에서 덮어씌워지지 않기 때문입니다.
따라서 라우터를 완벽하게 보호하려면, 사용자들은 추가적인 수동 조치가 필요합니다. 최소한 다음 사항들을 확인해야 합니다.
- TCP 포트 53282에서 활성 SSH 접근 여부 확인
authorized_keys파일에 생소한 키가 등록되어 있는지 검토- 캠페인과 연관될 수 있는 알려진 악성 IP 주소 차단
만약 장치가 감염된 것이 의심된다면, 가장 안전한 방법은 장치를 완전하게 공장 초기화(Factory Reset)한 후, 라우터를 처음부터 다시 구성하는 것입니다.
최신 뉴스, 분석 및 리뷰를 피드에서 받아보시려면 구글 뉴스에서 Tom's Hardware를 팔로우해 주세요. 팔로우 버튼을 클릭해 주시기 바랍니다.