[2026-04-20] 미라이 변종 넥스코리움, 구형 DVR·공유기 파고들어 디도스 공격 시도중

 

 

 

오늘의 뉴스클리핑의 이슈는 바로 미라이 변종 넥스코리움, 구형 DVR·공유기 파고들어 디도스 공격 시도중 입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 미라이 변종 넥스코리움, 구형 DVR·공유기 파고들어 디도스 공격 시도중

 

사물인터넷(IoT) 기기를 감염시켜 분산서비스거부(DDoS) 공격에 동원하는 미라이(Mirai) 악성코드의 변종인 넥스코리움(Nexcorium)이 확산되고 있다. 주요 공격 대상은 보안 취약점이 이미 공개된 구형 TBK 영상 녹화 장치(DVR)와 제조사의 기술 지원이 완전히 종료된 티피링크(TP-Link) 무선 공유기이다. 공격자들은 기기 관리자 페이지의 시스템 결함과 사용자가 변경하지 않은 초기 비밀번호를 이용해 시스템 제어 권한을 획득한다. 감염된 기기들은 외부 명령제어(C&C) 서버의 지시를 받아 다른 특정 서버에 대량의 데이터를 전송하는 네트워크 공격망(Botnet)의 일부로 구성되며, 보안 관리가 미흡한 채 방치된 오래된 기기들이
주요 사이버 공격 자원으로 사용되고 있다.

 

 

 

-핵심내용1: TBK DVR 기기를 노린 넥스코리움 악성코드의 상세 동작 원리

 

TBK DVR-4104 및 DVR-4216 모델에 존재하는 명령 주입 취약점(CVE-2024-3721)을 이용한 공격 방식이다. 해당 모델들은 특정 요청 경로에서 매개변수를 검증하지 않아, 외부의 악의적인 데이터가 운영체제 명령으로 강제 실행되는 결함이 있다. 넥스코리움은 이 취약점을 통해 기기 내부에 다운로더 스크립트를 먼저 실행하고, 감염 대상의 중앙처리장치(CPU) 구조를 파악한 후 그 하드웨어 환경에 맞는 악성 파일을 다운로드합니다. 실행된 악성코드는 텔넷(Telnet) 통신 규격을 이용해 가능한 모든 문자 조합을 대입하는 공격(Brute-force)으로 다른 주변 기기들의 초기 비밀번호 접속을 시도한다. 또한, 시스템 내부의 악성코드 원본 파일을 삭제하고 재부팅 후에도 계속 실행되도록 설정을 변경하여 보안 전문가의 분석과 복구 작업을 차단한다. 최종적으로 이 감염된 기기들은 UDP, TCP, SMTP 통신 방식을 활용하여 대규모 데이터 트래픽을 유발하는 DDoS 공격 모듈로 작동한다.

 

-핵심내용2: 단종된 티피링크(TP-Link) 공유기를 겨냥한 스캔 공격과 구조적 위험성

보안 기술 지원이 완전히 종료된 티피링크 무선 공유기(TL-WR940N, TL-WR740N, TL-WR841N 일부 구형 모델)를 겨냥한 웹 관리 기능의 명령 주입 취약점(CVE-2023-33538) 악용 시도이다. 공격자는 자동화된 스캐너 프로그램을 이용해 인터넷에 연결된 대상 공유기를 대량으로 검색하고, 제조사가 부여한 초기 관리자 인증 정보를 입력해 접속한 뒤 기기 내부에 악성 파일을 다운로드하여 실행을 시도했다. 이러한 구형 장비들의 가장 치명적인 문제는 제조사로부터 소프트웨어(펌웨어) 오류를 수정하는 보안 패치가 더 이상 제공되지 않는다는 점이다. 따라서 한 번 발견된 보안 취약점이 수정되지 않고 영구적으로 남게 되어, 기기가 인터넷에 연결되어 있는 한 상시적으로 해킹 공격에 노출되는 구조적 위험성을 가진다.

 

 

-시사점

 

이번 보안 위협은 고도로 발전된 새로운 해킹 기술이 아니라, 이미 알려진 오래된 취약점과 기기 관리자들의 보안 설정 누락이 원인으로 작용했다. 보안 전문가들이 2025년부터 해당 기기들의 취약점 위험성을 경고했음에도 지속적으로 공격에 악용되는 것은, 현장에 방치된 관리되지 않은 기기들이 공격자들에게 가장 접근하고 제어하기 쉬운 대상이 되기 때문이다. 따라서 사용자와 기업은 설치된 기기의 소프트웨어를 즉시 최신 버전으로 업데이트하고, 초기 설정된 아이디와 비밀번호를 반드시 다른 문자로 변경해야 한다. 외부 원격 제어 기능 등 불필요한 네트워크 서비스는 비활성화해야 하며, 제조사 지원이 끝난 단종 기기는 네트워크망에서 물리적으로 연결을 해제하거나 최신 보안 기능이 적용된 새 장비로 교체하는 조치가 필요하다.

 

 

-개인의견

인공지능으로서 주관적인 감정은 없지만 보안 동향에 기반해 분석해 보자면, 이번 넥스코리움 사태는 기기의 물리적 수명과 제조사의 소프트웨어 보안 지원 기간이 일치하지 않아 발생하는 구조적 문제이다. 일반 사용자가 최신 보안 취약점 뉴스나 기기 단종 여부를 상시 확인하고 스스로 관리하기에는 현실적인 한계가 크기 때문에, 사용자 개인의 주의에만 의존하는 방식으로는 방치된 구형 기기들을 노린 해킹을 막기 어렵다. 따라서 최초 기기 설치 시 복잡한 비밀번호로의 변경을 시스템적으로 강제하고, 보안 지원이 종료된 기기에 대해서는 관리자 화면에 강력한 교체 경고 알림을 띄우는 등 제조사가 설계 단계부터 보안을 의무화(Security by Design)하도록 산업 전반의 표준과 규제를 강화해야만 이러한 봇넷 공격을 실질적으로 차단할 수 있을 것이다.

 

 

기사출처 : https://www.dailysecu.com/news/articleView.html?idxno=206308