최근 사이버 보안 연구원들은 최소 2019년부터 활동해 온 중국과 연계된 위협 행위자들이 사용하는 고도화된 게이트웨이 모니터링 및 중간자 공격(AitM, Adversary-in-the-Middle) 프레임워크인 ‘DKnife’의 실체를 공개했습니다. DKnife는 기업 및 조직의 ‘엣지 디바이스(Edge Devices)’인 라우터와 네트워크 게이트웨이를 표적으로 삼아 트래픽을 탈취하고 악성코드를 배포하는 데 사용되어 왔습니다. 이 공격은 전통적인 보안 경계를 우회하며, 단순히 최종 사용자 기기가 아닌 네트워크의 근간을 흔든다는 점에서 매우 심각합니다.
DKnife 프레임워크란 무엇인가?
DKnife는 주로 리눅스 기반의 시스템에서 작동하는 툴킷으로, 공격자들이 네트워크의 최전선(게이트웨이)에 침투하여 영구적인 접근 권한을 확보하도록 설계되었습니다. 이 프레임워크는 단순히 데이터를 훔치는 것을 넘어, 조직의 전체 네트워크 통신 흐름을 실시간으로 감시하고 조작할 수 있는 능력을 부여합니다. 배후에는 중국과 관련된 국가 지원 해킹 그룹(China-nexus threat actors)이 있으며, 이는 DKnife가 단순한 금전적 이익이 아닌 장기적인 사이버 첩보 활동을 위해 개발되었음을 시사합니다.
공격의 핵심 매커니즘: AitM 및 트래픽 하이재킹
DKnife의 위협은 네트워크 트래픽을 ‘훔쳐보는’ 수준을 넘어 ‘조작’하는 데 있습니다. 공격자가 게이트웨이 라우터를 성공적으로 장악하면 다음과 같은 활동이 가능해집니다.
- 트래픽 모니터링 및 탈취: 라우터를 통과하는 모든 암호화되지 않은(혹은 복호화된) 통신을 감시하고, 민감한 정보를 추출합니다.
- 세션 하이재킹: 합법적인 사용자 세션을 가로채어 인증 정보 없이 네트워크 내부에 접근할 수 있습니다.
- 악성코드 주입: 사용자가 정상적인 웹사이트에 접속할 때, DKnife는 웹 페이지에 악성 스크립트나 다운로드 링크를 주입하여 피해자의 내부 기기에 추가적인 맬웨어를 설치합니다.
이러한 방식은 기업의 엔드포인트 탐지 및 대응(EDR) 솔루션이나 웹 애플리케이션 방화벽(WAF)이 탐지하기 매우 어렵습니다. 공격이 네트워크 경계 자체에서 발생하고, 사용자 기기에는 처음부터 악성 행위가 포착되지 않을 수 있기 때문입니다.
왜 엣지 디바이스 보안이 최우선인가?
대부분의 기업은 내부 서버와 엔드포인트 보안에 막대한 투자를 하지만, 라우터와 같은 엣지 디바이스는 종종 관리 사각지대에 놓이곤 합니다. 그러나 DKnife 사례는 엣지 디바이스가 방어의 최전선인 동시에 가장 치명적인 단일 실패 지점(Single Point of Failure)이 될 수 있음을 명확히 보여줍니다.
게이트웨이가 감염되면 공격자는 합법적인 네트워크 내부로 손쉽게 침투할 수 있는 ‘지하 통로’를 확보하게 됩니다. 이 통로를 통해 기밀 정보 유출, 랜섬웨어 배포, 혹은 장기적인 산업 스파이 활동을 수행할 수 있습니다. DKnife가 2019년부터 오랫동안 탐지되지 않고 활동할 수 있었던 이유도 이 엣지 보안의 취약성 때문입니다.
보안 전문가를 위한 필수 대응 전략
DKnife와 같은 엣지 기반 AitM 공격으로부터 조직을 보호하기 위해서는 즉각적인 검토와 선제적인 보안 강화가 필수적입니다.
1. 라우터 및 엣지 디바이스 점검 및 강화
- 펌웨어 및 패치 관리: 사용 중인 모든 라우터 및 네트워크 게이트웨이의 펌웨어를 최신 버전으로 즉시 업데이트하고, 특히 보안 지원이 종료된(Unsupported) 구형 디바이스는 CISA의 권고대로 즉시 네트워크에서 제거해야 합니다.
- 기본 자격 증명 변경: 라우터 및 관리 인터페이스의 기본 계정(예: admin/admin) 사용을 엄격히 금지하고, 복잡한 비밀번호와 2단계 인증(MFA)을 적용합니다.
- 불필요한 서비스 비활성화: 원격 관리(Telnet, HTTP) 등 불필요한 네트워크 서비스를 비활성화하고, 관리 포트는 매우 제한된 IP 주소에서만 접근 가능하도록 설정합니다.
2. 네트워크 가시성 및 모니터링 강화
- 아웃바운드 트래픽 모니터링: 게이트웨이 자체의 로그와 내부 네트워크에서 발생하는 비정상적인 아웃바운드 트래픽(특히 암호화되지 않은 데이터 전송)을 엄격히 감시합니다.
- 네트워크 분할(Segmentation): 중요한 자산과 일반 사용자 네트워크를 분리하여, 만약 엣지 디바이스가 손상되더라도 내부 피해가 확산되는 것을 방지합니다.
3. Zero Trust 원칙 적용
네트워크 경계 보안이 뚫릴 수 있음을 전제로 하고, 네트워크 내부의 모든 사용자, 장치, 애플리케이션에 대해 지속적인 검증을 요구하는 제로 트러스트(Zero Trust) 아키텍처를 도입해야 합니다. DKnife는 경계를 무너뜨리지만, 내부 세분화 및 지속적인 인증 요구는 공격자의 횡적 이동을 어렵게 만듭니다.
이번 DKnife의 공개는 국가 배후 공격자들이 사용하는 정교함의 수준을 다시 한번 상기시켜 줍니다. 조직들은 더 이상 전통적인 방화벽과 EDR에만 의존해서는 안 되며, 네트워크의 가장 근본적인 지점인 라우터와 게이트웨이 보안에 대한 투자를 최우선으로 고려해야 할 시점입니다.
Source: The Hacker News / Bleeping Computer
작성자 소개
