50개 이상 취약점 동시 악용하는 ‘론도독스’ 봇넷 공격 주의보

[아이티데일리] 30개 이상 제조사의 50개가 넘는 보안 취약점을 동시에 악용하는 대규모 봇넷 공격이 발견됐다. ‘론도독스(RondoDox)’로 명명된 해당 공격은 인터넷에 연결된 라우터, CCTV, DVR 등 네트워크 장비를 무차별적으로 노리고 있다.

트렌드마이크로는 최근 론도독스에 대한 보고서를 발표하며 “수십 개의 익스플로잇을 한 번에 시도한 후 성공하는 것이 있는지를 보는 ‘익스플로잇 샷건’ 방식”이라고 설명했다.

론도독스의 첫 공격은 2025년 6월 15일 발견됐는데, 2022년 폰투오운(Pwn2Own) 토론토 해킹대회에서 보안 연구자들이 티피링크(TP-Link) 라우터에서 발견한 CVE-2023-1389 취약점을 사용했다는 점이 특히 눈길을 끌고 있다. 트렌드마이크로는 “폰투오운에서 발표된 취약점들은 봇넷 운영자들 사이에서 계속 인기를 얻고 있다”며 “2023년 공개 직후 미라이(Mirai) 봇넷이 이 취약점을 악용했고, 론도독스도 같은 방식을 사용하고 있다”고 설명했다.

론도독스는 2025년 7월경 포티넷이 처음 문서화했으며, 당시에는 TBK DVR과 포페이스(Four-Faith) 라우터의 두 가지 취약점(CVE-2024-3721, CVE-2024-12856)을 주로 악용했다. 그러나 9월 클라우드SEK(CloudSEK)의 분석에 따르면 공격 범위가 급속도로 확장됐다. 클라우드SEK는 “론도독스가 ‘서비스형 로더(Loader-as-a-Service)’ 인프라를 통해 미라이 및 모르트(Morte) 악성코드와 함께 배포되고 있다”면서 “7월과 8월 사이 감염이 230% 급증했다”고 밝혔다.

트렌드마이크로에 따르면 현재 론도독스가 악용하는 취약점은 총 56개에 달하는 것으로 확인됐으며, 이 중 CVE가 부여된 것만 38개에 달한다. 공격 대상 장비 제조사는 디링크(D-Link), 넷기어(Netgear), 티피링크(TP-Link), 시스코(Cisco), 아파치(Apache) 등 30개가 넘으며, 취약점 중 50개가 명령 주입(Command Injection) 결함이다.

공격은 웹 관리 페이지의 보안 허점을 통해 장비에 침투한 뒤, 다양한 프로세서 유형에 맞는 악성코드를 설치하는 방식으로 진행된다. 감염된 장비들은 분산 서비스 거부(DDoS) 공격에 동원되며, 일부는 암호화폐 채굴에도 사용된다. 공격자는 수십 개의 서버를 순환시켜 추적을 피한다.

트렌드마이크로는 “취약점 공개와 광범위한 악용 사이의 시간이 계속 줄어들고 있다”며, “패치를 지연하거나 어떤 네트워크 장비가 인터넷에 노출돼 있는지를 파악하지 못하는 조직은 론도독스 같은 공격에 쉽게 당할 수 있다”고 경고했다. 실제로 최근 보고서에 따르면 취약점 공개 후 하루 이내에 악용되는 사례가 전체의 3분의 1에 달하는 것으로 나타났다.

론도독스 대응 방안에 대해 한국트렌드마이크로 최영삼 상무는 “사전 예방적 보안 전략으로, 모든 네트워크 장비에 즉시 보안 패치를 적용하고, 정기적인 취약점 점검을 실시하며, 네트워크를 분할해 공격이 확산되는 것을 막고, 이상 징후를 지속적으로 모니터링해야 한다”고 권고했다.

더불어 최 상무는 “트렌드마이크로는 통합 사이버 보안 플랫폼인 ‘트렌드 비전 원(Trend Vision One)’의 사이버 위험 노출 관리(CREM)를 통해 사전 예방적 보안을 수행할 수 있다. 또한 위협 인텔리전스(Threat Intelligence)를 통해 조직 내부에서 론도독스와 관련된 위협 행위를 확인할 수 있는 위협 헌팅을 지원하며, 네트워크/엔드포인트/워크로드 보안과 APT/IPS/악성코드 탐지 패턴으로 해당 취약점 악용과 관련 페이로드에 대한 방어를 이미 제공해 오고 있다”고 강조했다.