뉴스로 돌아가기
연구낮음

김울프 봇넷, 200만 대 이상 장치 감염 및 기업·정부 네트워크 침투

3분 읽기출처: Krebs on Security
Diagram of Kimwolf botnet infection flow through residential proxies and corporate networks

김울프 봇넷이 200만 대 이상의 IoT 장치를 감염시키고 기업 및 정부 네트워크에 침투한 사례를 분석하고, 대응 방안을 제시합니다.

김울프 봇넷, 주거용 프록시를 악용해 기업 네트워크 침투

새롭게 발견된 사물인터넷(IoT) 봇넷 **김울프(Kimwolf)**는 전 세계 200만 대 이상의 장치를 감염시켜 분산 서비스 거부(DDoS) 공격과 악성 트래픽 중계에 악용하고 있습니다. 연구 결과에 따르면, 이 봇넷은 기업 및 정부 네트워크에서 심각한 확산을 보이며, 로컬 네트워크 스캔을 통해 추가 감염을 시도하고 있습니다.

김울프 봇넷은 2025년 말 등장한 이후 빠르게 확산되었으며, 특히 중국 프록시 제공업체 IPIDEA와 같은 주거용 프록시 서비스를 장악해 악성 명령을 전파했습니다. 공격자들은 이러한 프록시를 이용해 로컬 네트워크 내 장치를 스캔하고 취약한 IoT 기기를 감염시켰습니다.

기술 분석: 김울프 봇넷의 작동 방식

  1. 초기 감염 경로

    • 김울프 봇넷은 주로 비공식 안드로이드 TV 스트리밍 박스를 대상으로 하며, 이들 장치는 사전 설치된 주거용 프록시 소프트웨어를 포함하고 보안 제어가 미흡한 경우가 많습니다.
    • 이러한 장치는 안드로이드 TV OS가 아닌 안드로이드 오픈 소스 프로젝트(AOSP) 기반으로 제작되며, 불법 콘텐츠 스트리밍을 위해 판매되는 경우가 많아 프록시 악성코드가 포함되어 있습니다.
    • 감염된 장치는 광고 사기, 계정 탈취, 콘텐츠 스크래핑 등 다양한 악성 트래픽을 중계하도록 강제됩니다.

  2. 로컬 네트워크 스캔을 통한 횡적 이동

    • 봇넷은 주거용 프록시 엔드포인트(예: IPIDEA)를 악용해 내부 네트워크를 탐색하고 추가로 취약한 장치를 감염시킵니다.
    • Infoblox에 따르면, 2025년 10월 이후 **기업 고객의 25%**가 김울프 관련 도메인에 쿼리를 보낸 것으로 나타나, 스캔 시도가 있었음을 확인했습니다(단, 모든 시도가 성공한 것은 아님).
    • 프록시 추적 스타트업 Synthient대학 네트워크에서 33,000개, 정부 네트워크에서 8,000개의 감염된 IP를 발견했으며, 여기에는 미국 및 해외 기관이 포함됩니다.

  3. 프록시 서비스를 통한 공격 벡터

    • 주거용 프록시는 웹 트래픽을 익명화하기 위해 판매되지만, 악성 앱이나 게임과 함께 배포되어 감염된 장치를 악성 트래픽 중계기로 변모시킵니다.
    • Spur와 같은 프록시 추적 업체는 김울프 관련 프록시가 다음 기관에서 발견되었다고 보고했습니다:
      • 298개 정부 네트워크(미국 국방부 시스템 포함)
      • 318개 유틸리티 기업
      • 166개 의료 기관
      • 141개 금융 기관
    • 공격자는 단일 감염 장치를 통해 동일한 네트워크 내 다른 시스템을 탐색하고 기업 환경에 침투할 수 있습니다.

영향 및 위험성

  • DDoS 및 악성 트래픽 증폭: 김울프 봇넷의 규모는 대규모 DDoS 공격을 가능하게 하며, 서비스 및 인프라를 마비시킬 수 있습니다.
  • 기업 및 정부 네트워크 침투: 기업 네트워크 내 봇넷의 존재데이터 유출, 스파이 활동, 추가적인 횡적 이동에 대한 우려를 높입니다.
  • 공급망 취약성: 프록시 악성코드가 사전 설치된 비보안 안드로이드 TV 박스소비자용 IoT 기기가 기업 환경에 유입되면서 발생하는 위험을 보여줍니다.
  • 프록시 악용 사이버 범죄: 주거용 프록시는 익명화된 공격 및 사기를 가능하게 하는 위협 행위자의 수익성 높은 도구로 남아 있습니다.

대응 및 권고 사항

보안 팀은 김울프 감염을 탐지하고 완화하기 위해 다음 조치를 취해야 합니다:

  1. 네트워크 모니터링 및 DNS 필터링

    • 알려진 김울프 관련 도메인주거용 프록시 IP(예: IPIDEA 엔드포인트)를 차단합니다.
    • 특히 안드로이드 TV 박스에서 발생하는 이상한 아웃바운드 트래픽을 모니터링합니다.

  2. 장치 보안 강화

    • 기업 네트워크에서 비공식 안드로이드 TV 박스를 제거하거나 비활성화합니다.
    • 모든 IoT 장치가 패치 적용, 네트워크 세분화, 인증을 거친 후에만 네트워크 접근을 허용합니다.

  3. 프록시 서비스 감사

    • 악성 앱을 통해 감염될 수 있는 **직원 장치(노트북, 스마트폰)**에서 무단 프록시 소프트웨어를 스캔합니다.
    • 방화벽 수준에서 주거용 프록시 트래픽을 제한합니다.

  4. 위협 인텔리전스 공유

    • Infoblox, Synthient, Spur의 보고서를 활용해 김울프 관련 인프라를 식별하고 차단합니다.

  5. 사고 대응 계획 수립

    • 김울프 감염이 발견되면 횡적 이동을 가정하고 즉시 영향을 받은 세그먼트를 격리합니다.

결론

김울프 봇넷은 주거용 프록시를 활용한 은밀한 기업 및 정부 네트워크 침투라는 IoT 봇넷의 새로운 진화를 보여줍니다. 로컬 장치 스캔 및 감염 능력비보안 IoT 배포 환경에서 지속적인 위협이 되고 있습니다. 조직은 모니터링 강화, 네트워크 세분화, 프록시 제어를 통해 이 봇넷 및 유사한 위협으로부터 위험을 완화해야 합니다.

추가 정보는 다음을 참고하세요:

공유

TwitterLinkedIn