김울프 IoT 봇넷, I2P 익명 네트워크 대량 시빌 공격으로 마비

김울프 봇넷, I2P 익명 네트워크 마비시키다

지난 한 주 동안 김울프(Kimwolf) 봇넷(2025년 말 처음 발견된 대규모 IoT 기반 위협)이 익명 통신을 위한 분산형 암호화 네트워크인 **The Invisible Internet Project(I2P)**를 심각하게 방해했습니다. 이 장애는 봇넷 운영자들이 I2P를 대체 명령 및 제어(C2) 인프라로 활용해 폐쇄 조치를 회피하려는 시도와 동시에 발생했습니다.

공격의 기술적 세부 사항

김울프 봇넷은 스트리밍 박스, 디지털 액자, 라우터 등 보안이 취약한 수백만 대의 IoT 기기를 감염시킨 후, I2P를 활용해 차단 조치에 대한 복원력을 유지해 왔습니다. 2월 3일, I2P 사용자들은 수만 개의 새로운 라우터가 네트워크를 압도하면서 갑작스러운 연결 실패를 보고했습니다.

이 공격은 시빌 공격(Sybil attack) 패턴을 따랐습니다. 시빌 공격은 단일 주체가(이 경우 김울프 운영자) 피어 투 피어 네트워크에 가짜 신원을 대량 유입시켜 성능을 저하시키는 방식입니다. 사이버 보안 업체 Unit 221B의 설립자이자 초기 I2P 기여자인 **랜스 제임스(Lance James)**에 따르면, I2P 네트워크는 일반적으로 15,000~20,000개의 활성 기기로 구성되지만, 김울프에 감염된 700,000개 노드가 동시에 접속을 시도했습니다.

봇넷 운영자들은 Discord 채널에서 I2P를 C2 백업으로 테스트하던 중 의도치 않게 네트워크를 마비시켰음을 인정했습니다. 프록시 추적 스타트업 Synthient의 설립자 **벤자민 브런디지(Benjamin Brundage)**는 김울프가 Tor에서도 유사한 실험을 진행했지만, 아직 Tor 네트워크에 큰 장애는 보고되지 않았다고 밝혔습니다.

I2P에 미치는 영향과 보안 우려

이 공격으로 I2P의 운영 용량이 약 50% 감소했으며, 사용자들은 네트워크 트래픽이 60,000개 동시 연결을 초과할 때 연결이 끊기는 현상을 경험했습니다. 김울프의 주요 기능은 DDoS 공격이지만, 최근 I2P와 Tor 같은 익명 네트워크를 활용해 C2 채널의 복원력을 확보하려는 봇넷 운영자들의 추세가 두드러지고 있습니다.

김울프는 이전에도 Cloudflare의 DNS 인프라를 공격해 악성 도메인이 아마존, 애플, 구글, 마이크로소프트 같은 주요 플랫폼을 잠시 제치는 사고를 일으킨 바 있습니다.

현재 상황 및 대응 조치

I2P 개발자들은 이번 주 내로 정상 운영을 회복하기 위한 안정화 업데이트를 배포 중입니다. 한편, 브런디지에 따르면 김울프의 감염 기기 수가 600,000대 이상 감소했으며, 이는 봇넷 운영자들이 운영 전문성이 부족함을 시사합니다.

"그들은 프로덕션 환경에서 실험을 진행하고 있습니다. 봇넷 규모가 축소되고 있으며, 운영자들이 무엇을 하고 있는지조차 모르는 것 같습니다."라고 브런디지는 말했습니다.

보안팀에게 이번 사건은 IoT 봇넷이 익명 네트워크를 악용해 복원력을 확보하는 위험성을 강조합니다. 이상 I2P/Tor 트래픽과 시빌 공격 패턴을 모니터링하면 유사한 위협을 조기에 탐지하는 데 도움이 될 수 있습니다.