Notice
Recent Posts
Recent Comments
Link
«   2026/07   »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
Tags
more
Archives
Today
Total
관리 메뉴

히큐리티(Hecurity)

[2026-06-23] 신종 아리스팅어 봇넷, 세계 구형 라우터 4000대 이상 감염... 전체 피해 절반은 한국 본문

뉴스클리핑✂️

[2026-06-23] 신종 아리스팅어 봇넷, 세계 구형 라우터 4000대 이상 감염... 전체 피해 절반은 한국

히이가 2026. 6. 23. 09:50









 

 

 

오늘의 뉴스클리핑의 이슈는 바로 아리스팅어 봇넷 입니다 - !

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

아리스팅어 봇넷

 

중국 보안기업 치안신(Qianxin) X랩이 노후 라우터 4,000여 대를 감염시킨 신종 봇넷 아리스팅어(AryStinger)를 발견했다. 이 봇넷은 감염된 기기를 공격자가 원격으로 제어하는 실행자로 전환해, 스캐닝과 트래픽 중계, 터널링, 명령 실행 등의 작업을 공격자 대신 수행하게 만든다. 기존의 DDoS나 코인 채굴형 봇넷과 달리, 아리스팅어는 본격적인 침해에 앞선 정찰단계에 특화된 점이 특징이다. 주요 표적은 D-Link의 DIR-850L과 DIR-818LW 라우터이며, CVE-2013-3307·CVE-2016-5681·CVE-2025-11837 취약점을 악용한다. 전체 감염의 48.5%가 한국에 집중됐고, 중국(31.8%), 스웨덴(6.4%), 말레이시아(3.5%), 싱가포르(2.5%)가 그 뒤를 이었다.

 

 

 

 

 

 

 

 

공격 과정 1


아리스팅어는 10년 이상 지난 노후 기기의 구형 취약점을 악용해 침투한다. 라우터는 CVE-2013-3307과 CVE-2016-5681을 통해, NAS 기기는 CVE-2025-11837을 통해 감염되며, 해당 D-Link 모델들은 2023년 루멘(Lumen)이 차단한 AVrecon 봇넷의 표적이기도 했다. 표적을 찾는 과정에서는 노출과 취약을 구분해서 볼 필요가 있다. 공격자는 먼저 인터넷을 향해 관리 페이지가 열려 있는, 즉 노출된 기기를 찾는다. 이때 masscan과 같은 포트 스캐너로 광범위한 IP 대역을 빠르게 훑어 어떤 기기의 어떤 포트가 열려 있는지를 식별한다. masscan은 속도에 특화되어 있어 열린 포트가 있는 후보군을 신속하게 추려내지만, 그 기기가 무엇인지까지는 알려주지 않는다. 이렇게 추려낸 대상에 대해 공격자는 nmap을 사용해 정밀 조사를 수행하는데, 응답 정보를 분석해 기기의 기종과 펌웨어 버전, 운영체제, 구동 중인 서비스 등을 식별한다. 이 정찰 과정을 통해 해당 기기가 D-Link DIR-850L의 특정 펌웨어 버전임이 확인되면, 공개된 취약점 정보와 대조해 실제로 취약한 대상인지를 판별한다. 감염된 기기는 공격자가 원격 제어하는 실행자로 전환되고, 공격자는 대규모 스캔 작업을 작은 단위로 분할해 다수의 실행자에 분산시켜 병렬로 처리하게 한다. 이러한 분산 구조는 초기 정찰을 효율적으로 만들고 추적을 어렵게 한다.


펌웨어(Firmware)

1) 라우터나 NAS 같은 하드웨어에 내장되어 그 동작을 제어하는 소프트웨어

2) 같은 기종이라도 펌웨어 버전에 따라 취약 여부가 달라짐 -> 하드웨어를 제어하는 소프트웨어(BIOS)

 

 

 

 

 

 


공격 과정 2


감염된 라우터는 기기를 망가뜨리는 것이 목적이 아니라, 공격자가 다른 공격을 수행하기 위한 중간 거점으로 활용된다. 공격자는 라우터를 경유해 스캔과 침투를 수행함으로써 자신의 실제 위치를 숨기며, 전 세계에 흩어진 감염 기기를 경유지로 삼기 때문에 피해 측이 공격 근원을 추적해도 진짜 공격자까지 거슬러 올라가기 어렵다. 라우터는 발판 역할에 그치지 않고 추가 악용에도 이용된다. 대표적으로 DNS 설정을 변조해, 사용자가 정상 사이트에 접속하려 해도 가짜 사이트나 악성코드 배포 페이지로 연결되도록 만들 수 있다. 또한 라우터는 네트워크의 모든 데이터가 통과하는 지점이므로, 장악될 경우 인바운드·아웃바운드 트래픽을 들여다보며 비밀번호나 금융 정보 같은 민감한 데이터를 노릴 수 있다. 이러한 감시는 별다른 징후 없이 은밀하게 이뤄져 감염 사실조차 파악하기 어렵다.
아리스팅어는 표적에 따라 두 변종으로 나뉜다. C 언어 버전은 저사양 라우터에 맞게 가볍게 작성되어 주로 트래픽 감시·탈취와 DNS 관련 작업에 집중한다. 반면 Go 언어 버전은 NAS를 노리며 더 고도화되어 있어, IP·DNS 스캔과 명령 실행, 페이로드 실행, 내부망 정찰 같은 기능을 갖추고 있다. 다만 이 Go 버전은 4,000여 대 규모로 퍼진 C 버전과 달리 아직 확산 범위가 제한적이다.

 

 

 

 

 

 


시사점


전체 감염의 절반에 가까운 48.5%가 한국에 집중됐다는 점이 두드러진다. 이는 국내에 해당 D-Link 구형 모델이 광범위하게 보급돼 있던 배경과 무관하지 않다. 또한 이번 봇넷은 DDoS나 코인 채굴을 노리는 일반적인 봇넷과 달리, 본격적인 침해에 앞선 정찰 단계에 특화되어 있다는 점에서 차별화된다. 공격에 사용된 취약점 상당수가 10년 이상 지난 구형 취약점이라는 점은, 지원이 종료된 노후 기기가 지속적인 위협 요인이 되고 있음을 보여준다. 이때 노출된 기기 전체가 곧바로 위험한 것은 아니며, 그중 펌웨어 버전이 실제로 취약한 기기를 우선순위로 식별해 대응하는 취약점 관리가 중요하다. 연구진은 아리스팅어를 알려진 공격 그룹과 연결 짓지 못했으며, 봇넷의 기원과 목적에는 아직 규명되지 않은 부분이 많다고 밝혔다. 대응책으로는 EOL 라우터의 교체, 최신 펌웨어 적용, 기본 관리자 비밀번호 변경, 원격 관리 패널 비활성화가 제시됐다.


EOL(End of Life)

1) 제조사의 지원이 종료되어 더 이상 보안 패치가 제공되지 않는 기기

2) 취약점이 발견돼도 수정할 수 없어 방치되기 쉬움

 

 

 

 

 

 

 


개인 의견


이번 사건의 핵심은 지원이 종료된 노후 기기가 방치될 경우 시간이 지날수록 위협이 누적된다는 점이다. CVE-2013-3307처럼 10년이 넘은 취약점이 여전히 대규모 감염의 통로로 쓰였다는 사실은, 새로운 위협이라기보다 방치된 기존 위협이 재활용된 사례로 볼 수 있다. 이런 기기가 계속 방치되는 데에는 기술 외적인 이유가 크다. 라우터는 고장만 나지 않으면 누구도 다시 들여다보지 않고, 감염되어도 성능 저하나 경고가 나타나지 않아 사용자가 위험을 체감하지 못한다. 특히 통신사가 임대한 공유기의 경우 관리 책임이 사용자와 통신사 사이에서 모호해지고, EOL 기기는 제조사가 패치를 제공하지 않아 업데이트할 펌웨어조차 없다. 결국 노후 기기 문제는 기술의 부족이 아니라 사람과 구조, 관리 책임의 문제에 가깝다. 아리스팅어는 DDoS처럼 트래픽이 급증하는 형태가 아니라 정찰 작업을 잘게 분산시키는 방식이므로, 단순 트래픽 양에 기반한 임계치 탐지로는 포착하기 어렵다. 따라서 트래픽 규모가 아닌 이상 행위 패턴을 중심으로 탐지 룰을 설계할 필요가 있다. 방어자 입장에서는 자신이 보유한 자산을 정확히 파악하는 것이 출발점이며, 외부에 노출된 자산을 주기적으로 점검하고 EOL 기기를 발견 즉시 격리하거나 교체하는 프로세스를 갖추는 것이 무엇보다 중요하다. 모르는 자산은 지킬 수도 없기 때문이다.

 

 

 

 

 

 

 

 

 

기사출처 : https://www.boannews.com/media/view.asp?idx=144260&page=1&kind=4

 

신종 아리스팅어 봇넷, 세계 구형 라우터 4000대 이상 감염... 전체 피해 절반은 한국

세계 곳곳의 구형 라우터 4000대 이상을 감염시켜 악성 트래픽을 중계하는 프록시로 악용하는 신종 봇넷 ‘아리스팅어’(AryStinger)가 포착됐다.

www.boannews.com