브라질에서 끊이지 않는 대규모 DDoS 공격. 누구나 그 배후에 숨어있는 으슥한 외국의 위협 세력을 상상했다. 먼 곳에서 혼돈을 뿌리는 디지털 유령 말이다. 우리는 늘 그렇게 믿도록 길들여져 왔다. 외부의 해커, 어둠 속의 존재. 하지만 이번 폭로는 그동안의 이야기를 완전히 뒤집는다. 브라질 내 인터넷 서비스 제공업체(ISP)를 노린 공격의 배후로, 정작 자신들을 ‘방패’라고 자처하는 Huge Networks가 지목되고 있는 것이다.
이것은 단순한 데이터 유출 사건이 아니다. 이건 구조적인 역전 현상이다. 강력한 네트워크 방어를 전제로 설립된 회사가, KrebsOnSecurity의 심층 분석에 따르면, 오히려 자신이 막기로 계약된 공격 인프라를 구축하고 있었다는 의혹이다. 이는 곧 보안 서비스에 대한 근본적인 신뢰와 가정 자체를 뒤흔드는 지진과도 같은 파장을 일으킬 것이다.
문제는 이렇다. 수년간 보안 전문가들은 브라질 내에서 발생해 오직 브라질 ISP만을 겨냥하는 이 거대한 DDoS 캠페인을 추적해 왔다. 범인은 잡히지 않는 기계 속의 유령처럼 신비에 싸여 있었다. 그러던 중, 인터넷 공개 디렉토리에 덩그러니 남겨진 보안 파일 아카이브 하나가 비밀을 속삭이기 시작했다. 그 안에는 예상했던 파이썬 공격 스크립트뿐만 아니라, Huge Networks CEO의 개인 SSH 키까지 담겨 있었다. 그렇다, 바로 그 Huge Networks 말이다.
마이애미에 본사를 두고 있지만 주로 브라질에서 활동하는 Huge Networks는 게임 서버 보호로 틈새시장을 개척한 후 ISP 대상 DDoS 완화 서비스로 사업 방향을 전환했다. 이 회사는 겉보기에는 깨끗했고, 공개적인 불만이나 알려진 불법 서비스와의 연관성도 없었다. 철저하게 관리된 기업 이미지였다.
하지만 드러난 데이터는 다른 이야기를 하고 있다. 이는 브라질에 기반을 둔 공격자를 지목하며, 해당 인물이 Huge Networks 인프라에 대한 루트 접근 권한을 유지하고 있었음을 시사한다. 이건 단순한 무단 접근의 문제가 아니다. 이건 봇넷을 구축하는 행위다. 아카이브는 이 공격자가 분산 공격 부대에 편입시킬 만한 불안정한 라우터와 관리되지 않는 DNS 서버를 찾기 위해 어떻게 체계적으로 인터넷을 스캔했는지 상세히 보여준다. 이들은 단순한 취약한 장치가 아니라, 분산 공격의 디지털 보병들이다.
DNS 반사 공격: 증폭 엔진의 비밀
이 공격이 어떻게 작동하는지 이해하는 것이 핵심이다. DNS는 인터넷의 전화번호부 역할을 하며, 도메인 이름을 IP 주소로 변환한다. 일반적으로 DNS 서버는 신뢰할 수 있는 네트워크의 쿼리에만 응답하며 정보 제공에 인색하다. 하지만 일부 서버는 잘못 설정되어 어디서든 요청을 받아들이는 개방된 전화 교환대처럼 작동한다. 공격자는 이를 악용하여 조작된 DNS 쿼리를 보낸다. 속임수는 무엇일까? 쿼리가 대상의 네트워크에서 온 것처럼 위장하는 것이다. 따라서 DNS 서버가 응답할 때, 공격자가 아닌 대상에게 트래픽을 폭주시키는 것이다.
여기에 증폭까지 더해진다. DNS 프로토콜의 절묘한 확장 기능은 비교적 작은 요청으로도 엄청난 응답을 가능하게 한다. 속삭임 하나로 비명을 터뜨리는 것을 상상해 보라. 공격자는 응답이 원본 요청의 60~70배에 달하도록 쿼리를 제작한다. 수만 대의 감염된 장치가 동시에 이러한 증폭된 쿼리를 발사한다면… ISP를 데이터로 익사시키는 방법은 바로 이것이다.
TP-Link 속 유령
유출된 아카이브에는 봇넷 모집 대상 IP를 정확히 지목하는 명령어 히스토리가 포함되어 있다. 구체적으로, 공격자는 TP-Link Archer AX21 라우터를 찾기 위해 웹을 뒤지고 있었다. 왜 이 라우터였을까? 이 라우터는 이미 4월에 패치되었던 심각한 명령어 주입 취약점 CVE-2023-1389에 취약했기 때문이다. 하지만 분명히, 여전히 많은 장치가 노출되어 있었다. 이는 오래된 문제, 즉 취약점 공개, 패치, 그리고 수백만 대 장치에 대한 실제적인 개선 사이의 지연을 보여준다.
더욱이, 파이썬 스크립트에서 발견된 악성 도메인인 hikylover[.]st와 c.loyaltyservices[.]lol은 이전에 Mirai 변종 기반 IoT 봇넷의 제어 서버로 식별된 바 있다. 이것은 새로운 악성코드가 아니다. 검증된 방법을 무기화하여, DDoS 방어 업체 인프라 내에 호스팅했던 것이다.
CEO 본인의 키
디지털 흔적은 정면으로 최고 경영자를 향한다. 파이썬 스크립트는 명백히 Huge Networks CEO인 Erick Nascimento의 개인 SSH 키를 사용했다. 질문을 받았을 때, Nascimento는 파일의 존재를 인정했지만 공격 프로그램 작성 사실은 부인했다. 그는 KrebsOnSecurity로부터 연락을 받고서야 캠페인의 전체 규모를 알게 되었다고 주장했다. 그의 설명은 이랬다.
“우리는 매우 매우 큰 DDoS 공격에 대해 많은 Tier 1 업스트림 공급업체에 통보하고 알렸다. 그 당시에는 깊이 파고들지 않았고, 당신이 보낸 내용이 그것을 명확히 해줬다.”
Nascimento는 1월에 처음 감지된 보안 침해(취약점 패치 날짜를 고려할 때 2023년 또는 2024년으로 추정되는 오타)를 지목한다. 이 침해로 인해 두 개의 개발 서버와 그의 개인 SSH 키가 손상되었다고 한다. 그는 1월 이후 키가 사용되지 않았으며, 회사는 즉시 팀에 통보하고, 해당 서버를 초기화하고, 키를 변경했다고 주장했다. 그러나 아카이브의 타임스탬프는 1월 이후의 이야기를 보여준다.
홍보 문구 vs. 구조적 현실
이 모든 상황은 기업의 손실 방지 노력으로 점철되어 있다. CEO의 주장, 즉 경쟁사의 침해 이용은 치열한 사이버 보안 시장에서 타당하거나 심지어 가능성 있는 시나리오다. 하지만 증거는 더 깊고 더 불길한 통합을 시사한다. CEO 개인 키의 사용, TP-Link 라우터에 대한 CVE-2023-1389와 같은 특정 취약점의 일상적인 스캔 및 악용, 브라질 IP의 일관된 타겟팅 등은 짧고 기회주의적인 경쟁사 해킹의 특징이 아니다. 이는 지속적이고 운영적인 능력을 보여주는 것이다.
이는 근본적인 질문을 던진다. Huge Networks의 합법적인 운영은 이 공격에 사용된 인프라와 얼마나 깊이 얽혀 있었는가? 봇넷 활동이 독립적으로 운영되었는가, 아니면 회사의 핵심 사업으로부터 자원이나 심지어 통찰력까지 끌어왔는가? 여기서의 구조적 변화는 단순히 서버 침해 문제가 아니다. 그것은 합법적인 인프라가 악의적인 목적으로 재사용되었을 가능성에 관한 것이며, 잠재적으로 내부의 맹점이나, 더 나쁘게는 공모를 포함할 수 있다.
이 사건은 현대 사이버 보안의 복잡한 구조 속에서 보호자와 가해자의 경계가 얼마나 섬뜩하게 흐릿해질 수 있는지를 보여주는 냉혹한 알림 역할을 한다. Huge Networks와 같은 전문 업체에 대한 신뢰는 무엇보다 중요하며, 그 신뢰에 의문이 제기될 때마다 전체 생태계는 떨림을 느낄 수밖에 없다.
이것이 다른 ISP에게 왜 중요할까?
이 사건은 단순한 지역 스캔들이 아니다. 전 세계 ISP들에게는 빨간 경고등이다. DDoS 방어 전문 업체가 공격 도구를 품고 있었다면, 이는 모든 공급망 회사의 보안 태세에 대해 무엇을 말해주는가? 이는 우리가 의존하는 방어 자체가 탈취될 수 있거나, 감독 메커니즘에 엄청난 맹점이 존재함을 시사한다. 다른 ISP들에게는 서비스 제공업체의 무결성을 재확인하고, 트래픽이 정확히 어디로 라우팅되는지, 그리고 파트너 네트워크 내에 어떤 잠재적 취약점이 있는지 정확히 이해하려는 노력을 두 배로 해야 함을 의미한다. 이는 단순한 경계 방어선을 넘어 전체 생태계에 대한 보다 세분화된 검사를 강요한다.
Huge Networks는 거짓말을 하고 있나?
그것이 바로 백만 달러짜리 질문이다. CEO는 보안 침해와 경쟁사 사보타주에 대한 설명을 제시하는데, 이는 사이버 보안 세계에서 완전히 불가능한 이야기는 아니다. 하지만 유출된 데이터의 상세함, 특히 개인 SSH 키의 일관된 사용과 봇넷의 운영 세부 사항을 보면 그의 이야기는 상당한 검증을 요구한다. 제시된 증거는 단순한 키 탈취를 넘어선 운영 활동의 수준을 시사한다. 추가적인 독립적인 포렌식 분석 없이는 그의 진술을 진실 또는 거짓으로 명확히 판단하기 어렵지만, 제시된 사실들은 명백히 단순한 침해 시나리오보다 훨씬 복잡하고, 잠재적으로 더 치명적인 현실을 향하고 있다.
