러시아군, 수천 대의 consumer router 해킹

(arstechnica.com)

Ars Technica2026년 4월 8일정책·규제

러시아 군 정보기관 APT28이 전 세계 120개국에서 약 1.8만~4만 대의 가정용/소규모 사무용 라우터를 해킹하여 대규모 첩보 활동을 벌였습니다. 이들은 DNS 설정을 조작해 사용자를 악성 프록시 서버로 유도함으로써 Microsoft 365 등의 OAuth 토큰과 인증 정보를 탈취했습니다.

이 글의 핵심 포인트

1러시아 APT28 그룹이 전 세계 120개국, 1.8만~4만 대의 라우터 해킹
2주요 타겟 기기: 보안 패치가 누락된 MikroTik 및 TP-Link 모델
3공격 방식: DNS 설정 조작 및 DHCP를 통한 네트워크 내 악성 설정 전파
4목표: Microsoft 365 등 주요 서비스의 OAuth 토큰 및 인증 정보 탈취
5기술적 특징: 중간자 공격(AitM)을 통한 MFA(다요소 인증) 우회 시도

이 글에 대한 공공지능 분석

왜 중요한가

이번 공격은 단순한 단일 기기 해킹을 넘어, 전 세계에 퍼져 있는 수만 대의 '신뢰할 수 없는' 소비자용 기기를 거대한 프록시 인프라로 변모시켰다는 점에서 매우 치명적입니다. 공격자는 해킹된 라우터를 중간 매개체(Proxy)로 활용하여, 최종 타겟인 정부 기관이나 기업의 보안망을 우회하며 마치 정상적인 트래픽인 것처럼 위장했습니다. 이는 네트워크의 가장 말단(Edge)이 공격자의 통제 하에 놓일 때, 기존의 경계 보안이 얼마나 무력해질 수 있는지를 보여주는 사례입니다.

배경과 맥락

APT28(GRU 소속)은 이미 수십 년간 고도화된 해킹 기술을 보유한 집단입니다. 이번 공격은 최신 기술(LLM 활용 등)과 고전적인 기술(DNS/DHCP 조작)을 결합한 것이 특징입니다. 특히 보안 패치가 이루어지지 않은 오래된 MikroTik 및 TP-Link 라우터의 취약점을 공략하고, DNS 설정을 변경한 뒤 DHCP를 통해 연결된 모든 워크스테이션에 이를 전파하는 방식을 사용했습니다. 이는 사용자가 웹사이트의 보안 경고를 무시하고 클릭할 경우, 중간자 공격(AitM)을 통해 MFA(다요소 인증)를 우회하고 세션 토큰(OAuth)을 탈취할 수 있게 설계되었습니다.

업계 영향

이 사건은 '신뢰할 수 있는 네트워크'라는 개념의 종말을 가속화할 것입니다. 기업들은 이제 사내 LAN이나 VPN에 연결되어 있다는 사실만으로 기기를 신뢰해서는 안 됩니다. 이는 제로 트러스트(Zero Trust) 아키텍처의 도입 필요성을 강력하게 뒷받침하며, 네트워크 계층에서의 트래픽 검증과 기기 인증(Device Identity) 기술에 대한 수요를 폭증시킬 것입니다. 또한, IoT 및 네트워크 장비 제조사들에게는 보안 패치 관리의 중요성을 다시 한번 각인시켰습니다.

한국 시장 시사점

한국은 스마트 홈, IoT 산업이 매우 발달해 있으며, 중소기업(SMB)의 네트워크 인프라 역시 다양한 외산 라우터를 사용하고 있습니다. 국내 보안 스타트업들에게는 네트워크 트래픽의 이상 징후(DNS 변조, 비정상적 DHCP 전파 등)를 실시간으로 탐지하는 에지 보안(Edge Security) 솔루션 개발의 기회가 될 수 있습니다. 또한, 클라우드 기반의 인증 시스템을 운영하는 SaaS 기업들은 단순한 MFA를 넘어, 인증 토큰 탈취를 방지하기 위한 기기 상태 검증(Device Posture Check) 기술을 서비스에 통합해야 하는 과제를 안게 되었습니다.

이 글에 대한 큐레이터 의견

스타트업 창업자들에게 이번 사건은 '경계의 붕괴'가 가져오는 새로운 보안 패러다임을 시사합니다. 과거에는 기업의 데이터 센터나 클라우드 내부 보안에 집중했다면, 이제는 사용자가 접속하는 '가장 말단의 접점(The Edge)'이 공격의 출발점이 되고 있습니다. 이는 보안 솔루션 분야의 스타트업들에게 단순한 방화벽을 넘어, 네트워크 트래픽의 패턴을 분석하고 비정상적인 DNS/DHCP 동작을 탐지하는 '지능형 에지 보안'이라는 거대한 시장이 열리고 있음을 의미합니다.

특히 SaaS 기업들은 인증 프로세스를 설계할 때, '토큰이 탈취되었을 때의 시나리오'를 반드시 고려해야 합니다. OAuth 토큰 탈취는 MFA를 무력화할 수 있기 때문에, 토큰의 유효 기간을 극단적으로 짧게 가져가거나, 인증 시점의 기기 환경(IP, 위치, 기기 지문)을 엄격하게 검증하는 기술적 장치가 필수적입니다. 보안을 단순한 '기능'이 아닌 '제품의 핵심 경쟁력'으로 삼는 전략이 필요한 시점입니다.

원문 보기 →