AryStinger 봇넷: 낡은 D-Link 공유기가 전 세계를 공격하는 비밀Proxy로 변신

지난 몇 주간 보안 업계에서 주목받은 새로운 위협이 등장했습니다. ‘AryStinger’라는 이름의 봇넷이 전 세계에 걸쳐 4,000대 이상의 낡은 D-Link 공유기를 감염시켜 악의적인 트래픽을 대신 처리하는 분산 Proxy로 활용하고 있습니다. 이 봇넷은 감염된 장치를 ‘실행자(Executor)’로 변환하여 공격자의 명령을 받아 스캐닝, Proxying, 터널링, 명령 실행 등 다양한 활동을 수행할 수 있게 합니다. 특히 공격자는 대규모 스캐닝 작업을 작은 작업 단위로 나누어 여러 감염 장치에 분배하는 방식으로 초기 침투 활동을 효율적으로 수행할 수 있다고 연구팀은 설명했습니다. 이 같은 분산 구조는 후속 침투 작업의 성공률을 크게 높이는 핵심 요인으로 작용합니다.

AryStinger의 가장 큰 위협은 단순히 네트워크 트래픽을 중계하는 수준을 넘어섭니다. 이 봇넷은 공유기의 DNS 설정을 조작하여 사용자의 브라우징을 가로채거나, 내부 및 외부 네트워크 트래픽을Silently 모니터링하고 유출할 수 있는 능력을 갖추고 있습니다. 이는 개인의 프라이버시 침해뿐만 아니라 기업 네트워크에 대한 침투로 이어질 가능성이 큽니다. 특히 감염된 공유기 자체가 외부 공격의 발판으로 사용될 수 있어, 보안 담당자들에게는 새로운 위협으로 부상하고 있습니다.

이번 위협은 주로 2013년부터 2025년까지 발표된 D-Link DIR-850L과 DIR-818LW 모델의 오래된 펌웨어 취약점을 악용합니다. 흥미롭게도 이 두 모델은 2023년 AVrecon 봇넷에서도 타겟이 되었으며, 당시 Lumen의 통신 서비스 제공업체가 해당 봇넷을 차단했던 전력이 있습니다. 현재 AryStinger의 감염 현황을 살펴보면 한국(48.5%), 중국(31.8%), 스웨덴(6.4%), 말레이시아(3.5%), 싱가포르(2.5%) 순으로 분포되어 있으며, 한국과 중국이 전체의 약 80%를 차지하고 있습니다.

AryStinger는 크게 두 가지 변종으로 나뉩니다. 하나는 주로 낡은 라우터를 타겟으로 하는 C 언어로 작성된 버전이고, 다른 하나는 NAS 시스템을 겨냥한 Go 언어로 작성된 고급 버전입니다. Go 버전의 경우 현재까지는 확산 범위가 제한적이지만, 기능적으로는 더욱 정교합니다. IP와 DNS 스캐닝, 명령 실행, 페이로드 실행, 그리고 오픈소스 침투 테스트 도구를 통합한 내부 네트워크 정찰 기능 등을 갖추고 있습니다. 연구팀은 이 Go 버전의 DNS 스캐닝 인프라가 대규모 DNS 쿼리 공격을 위한 인프라로 재활용될 가능성도 있다고 지적했지만, 아직까지는 그러한 공격은 관찰되지 않았다고 설명했습니다.

이번 위협은 특히 낡은 펌웨어를 사용 중인 D-Link 공유기 소유자들에게 경각심을 불러일으키고 있습니다. 오래된 펌웨어는 제조사에서 더 이상 보안 패치를 제공하지 않기 때문에, 이러한 장치들은 공격에 취약할 수밖에 없습니다. 보안 업계에서는 이러한 ‘레거시 장치’의 위험성을 꾸준히 경고해왔지만, 여전히 많은 사용자와 기업들이 업데이트를 미루고 있는 실정입니다. AryStinger는 이러한 취약한 장치들이 단순한 인터넷 연결 장치를 넘어, 악의적인 활동의 핵심 인프라로 전락할 수 있음을 보여주는 사례입니다.

AryStinger의 감염 경로를 분석해보면, 주로 오래된 펌웨어 취약점을 악용하는 것으로 확인됩니다. CVE-2013-3307, CVE-2016-5681, 그리고 CVE-2025-11837 등은 D-Link 공유기의 관리 인터페이스와 펌웨어 업데이트 메커니즘에 존재하는Known 취약점들입니다. 이러한 취약점들은 제조사에서 이미 패치한 경우가 많지만, 펌웨어 업데이트를 하지 않은 사용자들은 여전히 위험에 노출되어 있습니다. 특히 원격 관리 기능이 활성화되어 있거나, 기본 관리자 암호가 변경되지 않은 경우 감염 위험이 더욱 높아집니다.

AryStinger의 또 다른 특징은 ‘실행자’ 메커니즘입니다. 감염된 장치는 공격자의 명령에 따라 로컬에서 스크립트를 실행하거나, 추가 페이로드를 다운로드하여 설치할 수 있습니다. 이 과정에서 장치의 리소스가 소진되어 성능 저하가 발생할 수 있으며, 경우에 따라서는 장치가 완전히 제 기능을 잃을 수도 있습니다. 특히 NAS 시스템을 타겟으로 한 Go 버전의 경우, 내부 네트워크에 대한 정찰 활동이 가능해져 기업 환경에서는 심각한 보안 위협으로 작용할 수 있습니다.

이번 위협이 주목받는 이유는 단순히 감염된 장치의 수뿐만 아니라, 그 활용 방식에 있습니다. AryStinger는 감염된 장치를 단순한 Bot으로 사용하지 않고, 분산된 Proxy 네트워크로 활용하여 대량의 악의적인 트래픽을 처리합니다. 이는 공격자의 정체를 숨기는 데 효과적일 뿐만 아니라, 보안 시스템이 트래픽을 분석하기 어렵게 만드는 요소로 작용합니다. 특히 DNS 설정 조작을 통한 트래픽 가로채기는 사용자에게는 감지되지 않은 채 진행될 가능성이 높아, 개인정보 유출 위험이 매우 큽니다.

보안 연구팀은 AryStinger의 확산을 막기 위한 몇 가지 조치를 권고했습니다. 첫째, D-Link DIR-850L 및 DIR-818LW 사용자들은 가능한 한 빨리 최신 펌웨어로 업데이트해야 합니다. 제조사에서 더 이상 펌웨어 지원을 제공하지 않는 경우, 해당 장치를 교체하는 것이 가장 안전한 방법입니다. 둘째, 원격 관리 기능은 불필요한 경우 비활성화하고, 관리자 암호는 복잡하고 유일하게 설정해야 합니다. 셋째, 네트워크 트래픽을 모니터링하여 비정상적인 활동이 감지되면 즉시 대응해야 합니다.

이번 위협은 단순히 개인의 공유기 보안 문제로 끝나지 않습니다. AryStinger는 감염된 장치를 통해 기업 네트워크에 침투하거나, 대량의 악의적인 트래픽을 생성하여 타겟 시스템을 공격하는 데 활용될 수 있습니다. 특히 Go 버전의 경우 내부 네트워크 정찰 기능이 포함되어 있어, 기업 보안 담당자들은 AryStinger가 내부 네트워크에 침투하지 못하도록 추가적인 보안 조치를 마련해야 합니다. 예를 들어, 내부 네트워크와 공유기를 분리하는 VLAN 구성이나, 침입 탐지 시스템(IDS)을 통한 모니터링 강화가 필요합니다.

AryStinger의 등장은 IoT 기기의 보안 위험이 점점 더 심각해지고 있음을 다시 한 번 시사합니다. 특히 오래된 펌웨어를 사용 중인 장치들은 제조사에서 더 이상 보안 지원을 제공하지 않기 때문에, 사용자들의 적극적인 관리가 필요합니다. 보안 업계에서는 이러한 레거시 장치들을 ‘Zombie Devices’라고 부르며, 이러한 장치들이 악의적인 활동의 인프라로 전락하지 않도록 지속적인 모니터링과 관리가 필요하다고 강조합니다.

한편, AryStinger의 DNS 스캐닝 기능이 대규모 DNS 쿼리 공격으로 악용될 가능성에 대한 우려도 제기되고 있습니다. DNS 서버는 인터넷의 핵심 인프라로, 대규모 DNS 쿼리 공격은 전 세계적인 네트워크 장애를 초래할 수 있습니다. 연구팀은 아직까지 그러한 공격이 관찰되지 않았지만, AryStinger의 인프라가 이러한 공격에 재활용될 가능성을 배제할 수 없다고 경고했습니다. 이는 DNS 서비스 제공업체들에게도 새로운 위협으로 작용할 수 있으며, 보안 업계에서는 DNS 인프라에 대한 추가적인 보호 조치가 필요하다는 의견을 내놓고 있습니다.

AryStinger의 확산 경로를 분석해보면, 초기 감염은 주로 인터넷에 노출된 관리 인터페이스를 통해 발생한 것으로 보입니다. 이는 공유기 관리 페이지에 접근할 수 있는 상태에서 취약점을 악용하는 방식으로 진행됩니다. 따라서 사용자들은 공유기의 관리 인터페이스에 접근할 수 있는 IP 주소 범위를 제한하거나, VPN을 통해 안전하게 관리할 것을 권장합니다. 또한, 공유기의 로그를 정기적으로 확인하여 비정상적인 접근 시도를 감지하는 것도 중요합니다.

이번 위협은 보안 업계에 새로운 경각심을 불러일으키며, IoT 기기의 보안 관리에 대한 재검토가 필요하다는 점을 강조합니다. 특히 오래된 펌웨어를 사용 중인 장치들은 제조사에서 더 이상 보안 패치를 제공하지 않기 때문에, 사용자들의 적극적인 관리와 교체가 필요합니다. AryStinger는 이러한 레거시 장치들이 단순한 인터넷 연결 장치를 넘어, 악의적인 활동의 핵심 인프라로 전락할 수 있음을 보여주는 대표적인 사례입니다.

AryStinger의 등장은 보안 업계에 새로운 도전 과제를 안겨주고 있습니다. 특히 분산된 Proxy 네트워크로의 활용은 보안 시스템이 트래픽을 분석하기 어렵게 만드는 요소로 작용하며, 이는 보안 업계가 새로운 대응 전략을 마련해야 함을 시사합니다. 또한, DNS 설정 조작을 통한 트래픽 가로채기는 사용자에게는 감지되지 않은 채 진행될 가능성이 높아, 개인정보 유출 위험이 매우 큽니다.

이번 위협에 대한 대응은 개별 사용자뿐만 아니라 기업과 보안 업계 전체가 함께 노력해야 할 부분입니다. 사용자들은 낡은 펌웨어를 사용 중인 장치를 교체하거나 업데이트하여 보안 위험을 줄여야 하며, 기업은 내부 네트워크에 대한 추가적인 보안 조치를 마련해야 합니다. 보안 업계는 AryStinger와 같은 새로운 위협에 대응하기 위해 지속적인 연구와 개발을 진행해야 할 것입니다.

결론적으로, AryStinger 봇넷은 낡은 D-Link 공유기를 분산 Proxy로 활용하여 전 세계적으로 악의적인 활동을 수행하고 있는 새로운 위협입니다. 이 위협은 개인의 프라이버시 침해뿐만 아니라, 기업 네트워크에 대한 침투와 대규모 공격 인프라로의 전용 가능성까지 내포하고 있습니다. 사용자와 기업은 이번 기회를 계기로 IoT 기기의 보안 관리에 대한 재검토를 실시하고, 필요한 조치를 promptly 취해야 합니다. AryStinger는 IoT 기기의 보안 위험이 점점 더 심각해지고 있음을 보여주는 또 하나의 사례일 뿐, 앞으로도 유사한 위협이 끊임없이 등장할 것입니다. 보안의 중요성은 아무리 강조해도 지나치지 않으며, 지속적인 관심과 노력이 필요합니다.