연방 당국, 대규모 DDoS 공격 뒤의 IoT Botnet 차단
Source: Krebs on Security
개요
미국 법무부는 캐나다와 독일 당국과 협력하여 300만 대가 넘는 장치(라우터와 웹 카메라 포함)를 감염시킨 네 개의 고파괴성 IoT 봇넷의 온라인 인프라를 해체했습니다. 이 봇넷 Aisuru, Kimwolf, JackSkid, Mossad는 거의 모든 대상을 오프라인으로 만들 수 있는 사상 최대 규모의 분산 서비스 거부(DDoS) 공격을 일으켰습니다.
봇넷 상세
| 봇넷 | 발행된 공격 명령 대략적인 수 |
|---|---|
| Aisuru | > 200,000 |
| JackSkid | ≥ 90,000 |
| Kimwolf | > 25,000 |
| Mossad | ~ 1,000 |
정부는 이름이 밝혀지지 않은 운영자들이 이 봇넷을 이용해 수십만 건의 DDoS 공격을 실행했으며, 종종 금전 갈취를 요구했다고 주장합니다. 피해자들은 수만 달러에 이르는 손실 및 복구 비용을 보고했습니다.
법 집행 조치
국방부 감사관실(DoDIG)의 국방 형사 조사 서비스(DCIS)는 국방부가 소유한 인터넷 주소에 대한 DDoS 공격에 연루된 다수의 미국 등록 도메인, 가상 서버 및 기타 인프라를 대상으로 압류 영장을 집행했습니다.
법무부는 이번 조치가 피해 장치의 추가 감염을 방지하고 봇넷이 향후 공격을 수행할 수 있는 능력을 제한하거나 제거하기 위해 설계되었다고 밝혔습니다. 이번 사건은 DCIS가 FBI 앵커리지 현장 사무소와 약 2십여 개의 기술 기업의 지원을 받아 조사하고 있습니다.
“DCIS와 국제 법 집행 파트너와 긴밀히 협력함으로써 우리는 대규모 DDoS 공격에 사용된 범죄 인프라를 공동으로 식별하고 차단했습니다.”라고 FBI 앵커리지 현장 사무소의 Rebecca Day 수석 요원은 말했습니다.
법무부 성명은 여기에서 확인할 수 있습니다.
연표
- 2024년 말 – Aisuru가 등장하고 빠르게 IoT 장치에 퍼짐.
- 2025년 중반 – Aisuru가 사상 최대 규모의 DDoS 공격을 실행, KrebsOnSecurity 보고서에 상세히 기술됨.
- 2025년 10월 – Aisuru가 Kimwolf를 씨앗으로 사용, 내부 네트워크 보호 장치를 우회해 장치를 감염시키는 새로운 전파 메커니즘을 도입.
- 2026년 1월 2일 – 보안 업체 Synthient가 Kimwolf가 악용한 취약점을 공개적으로 공개, 전파를 억제.
- 2026년 초 – Kimwolf의 전파 방식을 모방한 새로운 IoT 봇넷이 등장; JackSkid도 내부 네트워크를 표적으로 함.
용의자
2026년 2월 말, KrebsOnSecurity는 Kimwolf 봇넷의 핵심 운영자로 22세 캐나다인 남성을 확인했습니다. 여러 소식통에 따르면 독일에 거주하는 15세도 주요 용의자라고 전했습니다. 이들에 대한 추가 세부 사항은 공개되지 않았습니다.