[프라임경제] 파이어아이(지사장 전수홍)는 시스코 라우터 임플랜트(Router Implant) 'SYNful Knock'을 이용한 공격을 포착했다고 16일 밝혔다.

이번 공격은 △우크라이나 △필리핀 △멕시코 △인도 4개국에서 14개의 사례가 수집됐으며, 특히 그동안 이론상에서만 존재했던 라우터 임플랜트를 이용한 실제 공격 유형으로 알려져 이목이 집중된다.

이번 공격에 이용된 임플랜트는 공격 그룹이 인터넷을 통해서 특정 모듈을 로드하게 해주는 변형된Cisco IOS 이미지로 이뤄져있다.

또한, 이 임플랜트는 숨겨진 백도어 패스워드를 통해 무제한 접근을 가능하게 한다. 각각의 모듈은 라우터 인터페이스로 보내진 TCP패킷을 이용해 HTTP 프로토콜을 통해 활성화된다.

이러한 라우터 이용 공격은 피해 업체에게 치명적인 결과를 부른다. 라우터와 같은 인프라 기기를 제어해 공격 그룹은 기업의 데이터 플로우와 중요 정보에 접근할 수 있으며, 나머지 인프라 대상의 추가 공격을 진행할 수 있다.

하지만 이보다 더 위협적인 것은 임플랜트가 시스템 재부팅 후에도 계속해서 네크워크 환경에 영속적으로 머물 수 있다는 것이다. 

전수홍 파이어아이 지사장은 "이번 SYNful Knock은 변형된 라우터 이미지를 활용한 공격 중에서 빙산의 일각에 불과할 것"이라고 말했다.

이어 "해킹 그룹이 네크워크에 대한 영속적인 접근을 위해 노력을 기울이는 만큼, 발견되지 않은 임플랜트의 변종도 전 세계적으로 분포하고 있을 것"이라고 덧붙였다.

아울러 "이러한 새로운 공격 벡터를 효과적으로 대응하기 위해서는 아직 밝혀지지 않은 공격 사례를 밝히기 위한 지속적인 노력과 이제까지와는 다른 방식의 보안 접근이 필요하다"고 첨언했다.

한편  라우터 임플랜트의 보다 자세한 공격 과정과 탐지 방법 그리고 치료 방법이 담긴 보고서는 파이어아이 홈페이지에서 내려받을 수 있다.