FBI, 러시아 GRU의 DNS 하이재킹 라우터 네트워크 차단

FBI와 DOJ, 러시아 군사정보국 라우터 네트워크 해체

미국 법무부와 FBI는 2026년 4월 7일, 러시아 주요 정보기관인 GRU(군사정보국) 산하 부대가 사용하던 침해된 라우터 네트워크를 차단하는 법원 승인 작전을 완료했다고 발표했습니다. 이번 작전은 군사, 정부, 주요 기반시설 분야의 개인 및 기관을 대상으로 DNS 하이재킹 공격을 수행하기 위해 은밀하게 탈취된 수천 대의 소규모 사무실 및 가정용(SOHO) 라우터를 대상으로 했습니다.

이번 작전의 규모와 방식은 국가 지원 행위자들이 간과된 소비자 하드웨어를 악용하여 정교한 정보 수집 활동을 벌이는 방식을 명확하게 보여줍니다.

DNS 하이재킹 공격의 작동 방식

GRU 부대는 전 세계 가정과 소규모 기업에서 흔히 사용되는 브랜드인 TP-Link 라우터의 알려진 취약점을 악용했습니다. 공격자들은 기기에 침투한 후 DNS 설정을 조작했습니다. DNS(도메인 네임 시스템)는 "example.com"과 같은 웹사이트 주소를 컴퓨터가 연결에 사용하는 숫자 형태의 IP 주소로 변환하는 체계입니다. 이는 사실상 인터넷의 주소록 역할을 합니다.

GRU는 침해된 라우터의 DNS 설정을 변경함으로써 기기 소유자가 전혀 인지하지 못한 채 자신들이 통제하는 서버를 통해 트래픽을 우회시킬 수 있었습니다. 이 기법은 중간자(Actor-in-the-Middle) 공격으로 알려져 있습니다. 피해자들이 정상적인 웹사이트를 방문하거나 계정에 로그인하려 할 때, 그들의 요청은 은밀하게 다른 경로로 전달되었습니다. 이러한 트래픽의 상당 부분이 암호화되지 않은 상태였기 때문에, 공격자들은 비밀번호, 인증 토큰, 이메일 내용을 평문으로 수집할 수 있었습니다.

피해자들이 반드시 잘못된 행동을 한 것은 아니었습니다. 그들은 평소와 같이 라우터를 사용하고 일반적인 웹사이트를 방문했을 뿐입니다. 공격은 대부분의 사용자는 물론 많은 IT 팀조차 인지하기 어려운 인프라 수준에서 이루어졌습니다.

SOHO 라우터가 지속적인 표적이 되는 이유

소규모 사무실 및 가정용 라우터는 여러 이유로 정교한 위협 행위자들이 선호하는 진입 지점이 되었습니다. 이러한 장치들은 수가 많고, 관리가 소홀한 경우가 많으며, 모니터링도 거의 이루어지지 않습니다. 소비자용 라우터의 펌웨어 업데이트는 드물게 이루어지며, 많은 사용자들이 초기 설정 이후 기본 자격 증명을 변경하거나 기기 설정을 검토하지 않습니다.

FBI가 침해된 라우터 네트워크를 정리하기 위해 개입한 것은 이번이 처음이 아닙니다. 이전에도 여러 제조사의 하드웨어가 포함된 봇넷 인프라를 대상으로 유사한 작전이 진행된 바 있습니다. 이 공격 경로의 지속성은 구조적 문제를 반영합니다. 라우터는 모든 네트워크의 경계에 위치하지만, 그 뒤에 있는 장치들에 비해 훨씬 적은 보안 관심을 받습니다.

법무부의 법원 승인 작전은 침해된 라우터를 원격으로 수정하여 GRU의 접근을 차단하고 악성 설정을 제거하는 방식으로 진행되었습니다. 이러한 유형의 개입은 드문 일이며 사법 승인이 필요하다는 점에서, 미국 당국이 이 위협을 얼마나 심각하게 받아들였는지를 잘 보여줍니다.

이것이 여러분에게 의미하는 것

가정이나 소규모 사무실에서 소비자용 라우터를 사용하고 있다면, 이번 작전은 여러분의 하드웨어가 여러분의 인지나 참여 없이 정보 활동의 일부가 될 수 있다는 직접적인 신호입니다. 이 공격은 피해자가 악성 링크를 클릭하거나 무언가를 다운로드하도록 요구하지 않았습니다. 단지 라우터가 취약한 펌웨어를 실행하고, 인터넷 트래픽이 암호화되지 않은 채로 그 라우터를 통과하는 것만으로 충분했습니다.

이 소식에 대응하여 취할 만한 구체적인 조치들이 있습니다.

첫째, 라우터에 사용 가능한 펌웨어 업데이트가 있는지 확인하고 적용하십시오. 라우터 제조사들은 알려진 취약점을 정기적으로 패치하지만, 그 패치는 설치되어야만 효과가 있습니다. 많은 라우터는 설정 인터페이스를 통해 자동 업데이트를 활성화할 수 있습니다.

둘째, 라우터의 기본 로그인 자격 증명을 변경하십시오. 이러한 작전에서 침해된 기기의 상당수는 공개적으로 문서화된 공장 기본 사용자명과 비밀번호를 사용하여 접근됩니다.

셋째, 인터넷 트래픽이 라우터를 떠날 때 어떤 모습인지 고려하십시오. HTTP 연결, 일부 이메일 프로토콜, 특정 앱 통신과 같은 암호화되지 않은 트래픽은 DNS가 리디렉션될 경우 읽힐 수 있습니다. DNS-over-HTTPS(DoH)나 DNS-over-TLS(DoT)와 같은 암호화된 DNS 프로토콜을 사용하면 DNS 쿼리 자체가 침해된 라우터나 그것이 트래픽을 라우팅하는 서버에 의해 가로채이거나 조작되지 않도록 보장합니다.

넷째, VPN은 트래픽이 라우터나 인터넷 서비스 제공업체에 도달하기 전에 여러분의 기기와 신뢰할 수 있는 서버 사이의 트래픽을 암호화하여 추가적인 보호 계층을 제공할 수 있습니다. 이는 라우터의 DNS가 변조되었더라도 여러분과 목적지 사이에 위치한 누구도 트래픽 내용을 읽을 수 없다는 것을 의미합니다.

이러한 조치들은 복잡하거나 비용이 많이 드는 것이 아니지만, GRU 작전은 암호화되지 않은 트래픽과 패치되지 않은 하드웨어가 추상적인 위험이 아니라 실제 사람들에게 실질적인 노출을 야기한다는 것을 명확히 보여줍니다.

FBI의 개입으로 이번 특정 네트워크는 차단되었지만, 소비자용 라우터 하드웨어의 근본적인 취약점은 여전히 남아 있습니다. 정보를 파악하고 기본적인 보호 조치를 취하는 것이 사라질 가능성이 낮은 공격 표면에 대한 가장 현실적인 대응책입니다.