Hugh_휴 님의 블로그

뉴스28. 미라이 변종, 디링크 공유기 대규모 공격...패치 없는 취약점 악용 시작 본문

뉴스 클리핑

뉴스28. 미라이 변종, 디링크 공유기 대규모 공격...패치 없는 취약점 악용 시작

Hugh_휴 2026. 4. 24. 09:00

기사 요약:

최근 공식 보안 지원이 종료된(EoL) 가정 및 소규모 사무실용 공유기들이 해커들의 주요 타깃이 되어, 미라이(Mirai) 기반의 신종 악성코드인 '턱스노킬(tuxnokill)'에 감염되는 사례가 포착되었다.

  1. 디링크(D-Link) DIR-823X 공유기의 웹 관리자 페이지 경로에서, 조작된 POST 요청만으로 임의의 명령을 실행할 수 있는 명령어 주입 취약점(CVE-2025-29635)이 글로벌 허니팟을 통해 실제 공격에 악용되기 시작했다.
  2. 공격자는 이 취약점을 통해 원격에서 공유기 내부로 접근한 뒤, 쉘 스크립트를 다운로드하고 실행한다. 이 스크립트는 다양한 CPU 아키텍처 환경에서 동작하도록 설계된 미라이 변종 악성코드인 '턱스노킬(tuxnokill)'을 시스템에 설치하며, 감염된 공유기는 즉각적으로 각종 네트워크 패킷 공격(TCP SYN/ACK, UDP 플러딩 등)을 수행하는 디도스 봇넷의 일부가 된다.
  3. 동일 공격 그룹은 자동화된 도구를 사용하여 티피링크, ZTE 등 타사 장비의 취약점도 동시에 스캐닝하고 공격하고 있다. 가장 치명적인 문제는 타깃이 된 기기들이 이미 지원이 종료된 EoL(End-of-Life) 상태여서 취약점을 덮을 보안 패치가 제공되지 않는다는 점이며, 따라서 취약한 장비를 최신 모델로 완전히 교체하는 것만이 유일한 해결책이다.

개인 의견:

고장 나지도 않고 인터넷만 잘 터지면 계속 쓰는 게 공유기인데, 단지 제조사의 '지원 종료(EoL)' 때문에 버리고 새것을 사야 한다는 결론이 당황스러웠다. 또한, 기사 마지막에 '원격 관리 기능을 비활성화하고 관리자 비밀번호를 변경하라'고 나오는데, 결국에는 사용자가 무언가 해야되는 상황이라는 점에서 항상 보안은 사용자가 신경써야 하는 구나라는 생각이 들었다.

 

쉘 스크립트 파일(dlink.sh) 다운 받도록 시키는 이유?

1) 명령어 주입(Command Injection)으로 한 번에 보낼 수 있는 데이터의 양은 제한적. 쉘 스크립트 파일은 가벼운 텍스트 파일이라서 다운 받도록 시킨다.

2) 흔적 지우기 용이

 

<용어 정리>

미라이 기반 악성코드: 우리가 쓰는 공유기나 홈 CCTV 같은 인터넷 연결 기기(IoT)를 감염시켜 해커의 명령에 따르는 '좀비'로 만든 뒤, 일제히 특정 타깃을 공격하게 만드는 바이러스의 일종.

명령어 주입(Command Injection) 취약점: 웹사이트나 프로그램이 사용자로부터 입력값을 받을 때, 그 값이 운영체제(OS) 명령어로 실행되도록 속여서 시스템의 제어권을 따내는 공격.

POST 요청: 클라이언트(내 브라우저나 해커의 도구)가 서버(공유기 관리 페이지)로 데이터를 보내기 위해 사용하는 통신 규약.

허니팟: 일부로 보안이 약한 척 하는 가상 환경을 만들어 해커를 유인. 보안이 허술한 실제 기기인 척 포트나 원격접속 포트를 열어둠.

TCP SYN 플러딩: 3-Way Handshake라는 과정을 거친다. 공격자는 연결 요청(SYN)만 계속 보내고, 서버가 응답(SYN-ACK)을 보내도 마지막 확인(ACK)을 보내지 않아 서버는 연결이 완료될 때까지 메모리를 점유하며 기다리다가 결국 시스템이 뻗어버린다.

ACK 플러딩: 연결 요청 안됐는데, 연결이 되어 있는 것처럼 속여서 확인 패킷(ACK)만 무차별적으로 보내 자원 소모.

UDP 플러딩 (UDP Flooding): UDP는 확인 절차 없이 데이터를 일단 던지는 방식. 서버는 "이 포트가 열려있나?" 확인하고 "안 열려있네"라고 응답하는 과정을 반복하며 네트워크 대역폭이 꽉 차버리게 만든다.

STOMP 공격 (STOMP Flood): STOMP는 주로 실시간 메시징(채팅, 알림 등)에 쓰이는 프로토콜. 서버가 처리해야 할 가짜 메시지를 폭주시켜 시스템 먹통.

HTTP 요청 공격 (HTTP Request Flood): 웹 서버가 페이지를 보여주기 위해 데이터베이스(DB)를 조회하거나 연산을 해야 하는 특정 URL을 집중적으로 호출. 이 요청들을 하나하나 처리하려다 CPU와 메모리가 고갈되어 정지.

봇넷: 흩어진 수만 대의 장비를 자기가 원하는대로 움직일 수 있게 원격으로 묶어놓은 네트워크

 

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206389

'뉴스 클리핑' 카테고리의 다른 글

뉴스30. NGate 캠페인, 브라질을 표적으로 삼아 HandyPay에 트로이목마를 심어 NFC 데이터 및 PIN을 탈취  (0) 2026.04.28
뉴스29. 해킹조직 블랙파일, 콜센터처럼 속여 기업 계정 탈취…유통·호텔업계 겨냥한 공격 확산  (1) 2026.04.27
뉴스27. 앤트로픽의 방관 속 기하급수적으로 번지는 ‘MCP’ 공급망 보안 위협  (0) 2026.04.23
내 개인정보가 35달러?... 노드VPN, 다크웹 ‘개인정보’ 가격표 공개  (0) 2026.04.22
뉴스25. 검색 수익화 솔루션 가장... 백신 제거해 2만5000개 시스템 위협 노출  (0) 2026.04.21
'뉴스 클리핑' Related Articles more