러시아 해커, 가정용 라우터 공격 미 정부 경고
원제: The US government warns that Russia state hackers are coming after your router
왜 중요한가
국가 주도 사이버 공격이 일반 가정용 인프라를 침투 경로로 활용함에 따라, 라우터 보안이 국가 안보 대응의 핵심 과제로 부상하고 있다.
미국 CISA는 2026년 7월 13일, 러시아 연방보안국(FSB) 산하 사이버 그룹이 전 세계 가정용 및 소규모 사무실 라우터를 대규모로 침해하고 있다고 경고했다. 호주, 덴마크, 뉴질랜드, 영국 정부도 이 권고문을 공동 발표했으며, 공격자들은 취약한 SNMP 설정을 악용해 라우터를 악성 프록시 노드로 활용하고 있다.
CISA는 러시아 FSB 제16센터 소속 사이버 행위자들이 SNMP(Simple Network Management Protocol) 버전 1·2의 기본 인증 정보를 악용해 전 세계 네트워킹 장비를 무차별 침해하고 있다고 밝혔다. 해당 그룹은 Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard, Static Tundra 등 다양한 이름으로 추적되고 있다.
공격자들은 이미 장악한 라우터 봇넷을 이용해 새로운 표적 IP 대역을 스캔하고, 스푸핑된 주소에서 악성 트래픽을 보내 SNMP 에이전트를 통해 악성코드를 실행한다. 감염된 라우터는 통신·국방·에너지·금융·정부 분야 조직에 대한 공격의 출구 노드로 활용되며, 신뢰할 수 있는 일반 IP 주소에서 트래픽이 발생하는 것처럼 위장해 방화벽 탐지를 회피한다.
러시아와 중국 정부는 수년간 라우터를 침해해 왔으며, 미국 정부와 Google 등 민간 기업도 관련 봇넷 해체에 나섰지만 운영자들이 새로운 봇넷으로 즉시 교체하는 탓에 근본적인 해결이 어렵다. CISA는 대응책으로 SNMP 버전 1·2 비활성화, 기본 인증 정보 변경, 펌웨어 최신화 등을 권고했다.