“에지 보안 장치 대상 글로벌 무차별 대입 공격 급증”

[아이티데일리] 방화벽, VPN 등 에지(Edge) 보안 장치를 목표로 한 무차별 대입 공격(Brute Force Attack)이 빠르게 늘고 있다는 조사 결과가 나왔다.

위협 모니터링 플랫폼 섀도우서버 파운데이션(Shadowserver Foundation)은 지난 8일(현지 시각) IP 주소 280만여 개를 통한 대규모 무차별 대입 공격이 발생하고 있다고 밝혔다.

무차별 대입 공격은 공격자가 올바른 암호를 알아낼 때까지 여러 사용자 이름과 비밀번호를 사용해 계정이나 장치에 반복적으로 로그인을 시도하는 행위를 뜻한다. 여러 차례 시도 끝에 자격 증명 정보를 찾아내면 이를 통해 장치를 탈취하거나 네트워크에 불법적으로 접근할 수 있게 된다.

섀도우서버 파운데이션은 자사 허니팟(Honeypot)을 통해 지난 몇 주간 에지 장치에 대한 무차별 대입 공격이 급증한 점을 확인했다. 허니팟은 비정상적 접근을 탐지하고자 의도적으로 설치해 둔 시스템을 말한다.

무차별 대입 공격에는 매일 약 280만 개의 IP 주소가 쓰였다. 이 중 110만 개는 브라질에서 발생했으며 터키, 러시아, 아르헨티나, 모로코 등이 그 뒤를 이었다.

이러한 공격은 대규모 봇넷(Botnet)에 의해 화웨이, 시스코 등 글로벌 기업의 라우터와 사물인터넷(IoT) 대상으로 이뤄졌다. 방화벽, VPN, 게이트웨이 등 에지 보안 장치는 원격 접근을 용이하게 하고자 인터넷에 노출되는데, 공격자들은 이를 악용해 무차별 대입 공격 등으로 사이버보안을 침해할 수 있다.

섀도우서버 파운데이션 측은 “무차별 대입 공격이 그간 이어져 왔으나 최근 더욱 큰 규모로 증가했다”고 밝히며 “공격하는 IP 주소가 여러 네트워크와 자율 시스템에 흩어져 있으며, 봇넷이나 주거용 프록시 네트워크와 관련됐을 가능성이 있다”고 설명했다.

국내에서는 무차별 대입 공격의 일종인 ‘크리덴셜 스터핑’으로 인한 피해가 최근 기업을 대상으로 확인되고 있다. 크리덴셜 스터핑은 사용자 계정·비밀번호를 사전 취득 후 다른 사이트에서 로그인에 성공할 때까지 시도하는 공격 방식이다.

지난달 GS리테일은 자사 홈페이지가 해커로부터 크리덴셜 스터핑 공격을 받아 고객 9만여 명의 이름, 성별, 생년월일 등 개인정보 7개 항목이 유출됐다고 발표했다.

SK스토아는 2023년 크리덴셜 스터핑으로 고객 12만 5천여 명의 개인정보가 유출됐다. 개인정보보호위원회는 비정상적 접속 시도를 방지하는 침입 탐지·차단 대책 마련 등 안전조치 의무를 소홀히 했다며 SK스토아에 과징금 14억 3,200만 원, 과태료 300만 원을 부과했다.

한편, 해외에서는 지난해 4월 시스코가 자사를 포함해 전 세계 체크포인트, 포티넷, 소닉월 등 여러 벤더의 VPN 장치를 대상으로 한 무차별 대입 공격이 이뤄지고 있다고 경고한 바 있다.

섀도우서버 파운데이션 측은 “무차별 대입 공격으로부터 에지 장치를 보호하기 위해선 관리자 비밀번호를 강력하게 설정하고 다단계 인증(MFA)을 적용하는 등 강화된 보안 관리가 필요하다”고 강조했다.