서비스 안전했지만, 로그인 경로의 라우터는 공격당했다

APT 그룹이 라우터를 노리는 이유 : 공유기는 더 이상 집 안의 장비가 아니다

인터넷 공유기는 오랫동안 집 안의 장비로 여겨졌다. 속도가 느려지면 재부팅하고, 고장이 나면 교체하는 장비였다. 기업 보안의 관점에서도 라우터는 대개 경계 밖에 있었다. 보안팀은 클라우드 계정과 직원 노트북, VPN, 이메일 보안을 관리했지만, 직원이 집에서 사용하는 공유기까지 관리 대상으로 하지 않았다.

그러나 최근 러시아와 중국의 국가 지원 APT 그룹의 활동은 이런 부분을 다시 생각하게 한다. 공격자는 기업 서버나 클라우드를 정면으로 뚫는 방식만 고수하지 않는다. 사용자가 클라우드 서비스에 접속하기 위해 반드시 지나가는 길, 즉 집 안의 라우터를 장악고자 한다는 것이다.

이 변화가 중요한 이유는 단순하다. 재택근무와 클라우드 기반의 업무 환경에서 라우터는 단순한 개인의 인터넷 연결 장비가 아니다. 그것은 이메일, Microsoft 365, Google Workspace, VPN, SSO, 그룹웨어, 원격 데스크톱 접속이 처음 지나가는 인증 경로에 위치한 장비다. 이에 더해 라우터 별로 상이하지만 상당히 많은 기능을 제공한다. 그러므로 공격자가 이 장비를 장악하면 클라우드 서비스에 대한 공격 없이 사용자의 접속 경로를 조작할 수 있다.

결국 이번 문제의 본질은 “가정용 공유기가 해킹됐다”라고 보기 보다는 “기업 인증 경로의 가장 바깥쪽이 관리되지 않은 기기를 공격자는 노리고 있다”는 것이다.

왜 집 안의 라우터를 먼저 공격하는가

러시아 APT28, 즉 Forest Blizzard 또는 Fancy Bear로 알려진 그룹의 최근 활동은 이 구조를 잘 보여준다. 이들은 취약한 가정용·소형 사무실용 라우터를 장악한 뒤 DNS 설정을 변경하고, 사용자의 DNS 질의가 공격자 통제 인프라를 거치도록 만들었다.

이와 같은 환경에서 공격자는 모든 트래픽을 무차별적으로 가로챌 필요가 없다. 대부분의 요청은 정상 서비스로 돌려보내 사용자가 이상을 느끼지 못하게 하고, 이메일이나 로그인 페이지처럼 가치가 높은 일부 도메인만 선별적으로 조작하면 된다. 이 과정에서 공격자는 AITM(Adversary-In-The-Middle), 즉 중간자 공격을 시도할 수 있고, 조건이 맞으면 비밀번호와 인증 토큰, 이메일 내용 같은 민감 정보에 접근할 수 있다.

중국의 APT 그룹 활동에서도 비슷한 흐름이 확인된다. Volt Typhoon은 침해한 SOHO 라우터와 방화벽을 이용해 자신의 실제 위치를 숨기고 중요 인프라에 접근했다. APT40 역시 인터넷에 노출된 취약 장비와 더 이상 보안 업데이트가 제공되지 않는 EOL(End Of Life) 장비를 빠르게 악용하는 방식으로 주목받았다.

이들은 라우터를 단순한 공격 대상만으로 바라보진 않는다. 라우터는 정찰 거점이고, 프록시이며, 공격을 숨기기 위한 인프라다. 또한 공격 트래픽이 일반 가정용 IP에서 출발하면 방어자는 이를 명백한 악성 인프라와 구분하기 어려워진다. APT 그룹이 라우터를 노리는 이유는 바로 여기에 있다. 라우터는 약하면서도 조용하고, 항상 켜져 있으며, 방어자의 시야 밖에 있기 때문이다.

HTTPS가 있는데 비밀번호를?

여기서 반드시 짚어야 할 질문이 있다. 오늘날 대부분의 웹메일과 클라우드 서비스는 HTTPS를 사용한다. 그렇다면 라우터가 중간에 있다고 해서 공격자가 비밀번호를 볼 수 있을까?

정상적인 HTTPS 연결이 유지된다면 답은 아니다. TLS는 사용자 단말과 서비스 사이의 통신 내용을 암호화하기 때문에, 라우터가 단순히 패킷을 훔쳐보는 것만으로 비밀번호 평문을 얻기는 쉽지 않다. 이와 같은 내용을 설명에서 생략하면 라우터 공격의 위험을 과장하거나 기술적으로 부정확하게 설명하게 된다.

그러나 APT 그룹에 의한의 라우터 공격은 HTTPS를 암호학적으로 깨는 방식이 아니다. 공격자는 HTTPS가 성립되기 전 단계, 즉 사용자가 어느 서버로 접속해야 하는지를 결정하는 DNS와 DHCP 경로를 조작한다. 사용자의 노트북과 휴대폰은 라우터로부터 자동으로 DNS 서버 정보를 받아온다. 라우터가 장악되면 공격자는 이 설정을 바꿔 사용자가 정상 주소를 입력하더라도 공격자 통제 DNS를 먼저 거치게 만들 수 있다.

이때 브라우저가 정상 인증서가 아니라는 경고를 띄울 수 있고, 사용자가 이를 무시하지 않는다면 공격은 실패할 수 있다. 하지만 사용자가 인증서 경고 무시하고 인증서 검증이 약한 앱·레거시 환경·피싱 페이지가 결합되면 인증 정보 탈취 가능성은 커진다. 사실 IT 환경에 익숙한 사용자가 아니며 중요한 목적 달성을 위해 업무에 집중하고 있다면 인증서 경고를 인지하지 못할 수도 있다.

따라서 이 공격의 핵심은 “HTTPS가 무너졌다”가 아니다. 더 정확한 설명은 “HTTPS에 도달하기 전의 이름 해석 경로가 장악됐다”는 것이다. HTTPS는 연결된 서버와의 통신 내용을 보호한다. 그러나 사용자가 어느 서버로 연결해야 하는지를 결정하는 DNS와 DHCP 설정까지 자동으로 보호하지는 않는다. 공격자는 바로 이 틈을 이용한다. 결국 클라우드 자체는 안전할 수 있다. 그러나 사용자가 클라우드로 가는 길은 공격당할 수 있다.

라우터 내부에 저장된 크리덴셜도 공격 대상이다

라우터 공격에서 크리덴셜 탈취는 DNS 조작보다 직접적인 방식으로도 이루어진다. Authentication Bypass, 즉 인증 우회 취약점이 존재하면 공격자는 관리자 페이지에 정상 로그인하지 않고도 설정 정보에 접근할 수 있다.

일부 라우터는 설정 백업 파일을 내려받는 기능을 제공한다. 이 파일에는 관리자 비밀번호, Wi-Fi 키, PPPoE 계정, DDNS 계정, VPN 설정 등이 들어 있을 수 있다. 이런 정보는 항상 강하게 암호화되어 저장되는 것도 아니다. Base64 인코딩이나 약한 암호화, 단순 난독화에 그치는 경우도 있다.

공격자가 설정 백업 파일을 확보하면 라우터 하나를 넘어서 내부 네트워크와 외부 서비스 접속 정보까지 얻을 수 있다. 이 경우 공격자가 탈취하는 것은 사용자가 HTTPS 웹사이트에 입력한 비밀번호가 아니라, 라우터가 이미 저장하고 있던 네트워크 운영 정보다. 그러나 공격자에게는 이 정보 역시 충분히 가치가 있다. VPN 설정이나 DDNS 계정, 관리자 계정은 추가 침투와 장기 은닉의 출발점이 될 수 있기 때문이다.

RCE는 라우터를 공격자의 거점으로 바꾼다

RCE(Remote Code Execution), 즉 원격 코드 실행은 더욱 위험하다. 웹 관리 인터페이스의 명령 삽입 취약점이나 취약한 CGI 처리 로직이 악용되면 공격자는 라우터 내부에서 명령을 실행할 수 있다.

이후 공격자는 라우터의 설정 저장소, NVRAM, 인증 파일, VPN 설정, DNS 설정을 읽고 장기적인 백도어를 설치할 수 있다. 이 경우 라우터는 단순히 감염된 장비가 아닌 공격자의 거점이 된다. 사용자는 인터넷이 정상적으로 연결된다고 느끼지만, 실제로는 자신의 네트워크 경계 장비가 공격자의 통제 아래 놓여 있을 수 있다.

CSRF 역시 오래된 라우터에서 반복적으로 등장하는 문제다. 사용자가 악성 웹페이지를 방문했을 뿐인데, 악성 스크립트는 브라우저가 내부 라우터 관리 페이지로 요청을 보내도록 한다. 만약 라우터가 이러한 요청을 제대로 검증하지 않으면 DNS 서버 변경, 관리자 비밀번호 변경, 원격 관리 활성화 같은 설정 변경이 사용자 모르게 이루어질 수 있다.

이 공격은 사용자가 직접 라우터 관리자 페이지에 접속하지 않아도 발생할 수 있다는 점에서 특히 위험하다. 결국 문제는 라우터가 인터넷 연결을 담당하는 장비라는 사실에 있다. 이 장비가 바뀌면 사용자의 모든 접속 흐름이 바뀐다.

감염된 라우터는 크리덴셜 공격을 숨기는 인프라가 된다

라우터가 직접 비밀번호를 훔치지 않더라도 위험은 사라지지 않는다. 감염된 SOHO 라우터는 Password Spray, 피싱, 정찰, 명령제어 통신의 발신지로 사용될 수 있다.

Quad7 또는 CovertNetwork-1658으로 불리는 봇넷은 이러한 흐름을 잘 보여준다. 공격자는 감염된 SOHO 라우터를 Microsoft 365 계정에 대한 Password Spray 공격의 발신지로 사용됐다.

이러한 공격이 감염된 가정용 라우터를 통해 이루어지면 방어자는 공격 트래픽을 명백한 악성 인프라로 식별하기 어렵다. 공격은 평범한 가정용 IP에서 오는 것처럼 보이기 때문에 탐지는 어려워지고, 차단은 더 조심스러워진다. 반대로 차단이 조심스럽지 않다면 라우터 아래의 사용자는 서비스 이용에 불편을 겪게 될 것이다.

앞선 설명에 따른 라우터는 공격에 필요한 두 가지 역할을 동시에 수행하기 위한 장비이다. 하나는 크리덴셜 탈취를 가능하게 하는 장비이고, 다른 하나는 크리덴셜 공격의 출처를 숨기는 장비다. 이 부분이 APT 그룹에게 라우터가 매력적인 이유라 할 수 있다.

공격자는 취약한 장비보다 책임지지 않는 장비를 찾는다

여기서 중요한 통찰은 APT 그룹이가 반드시 가장 강력한 취약점을 찾기 것만을 위해 노력하지 않는다는 점이다. 공격자는 방어자가 책임지지 않는 장비를 찾는다.

기존의 보안 정책들 아래 기업 서버와 클라우드, 직원 노트북은 보안 통제 아래 있을 수 있다. 그러나 가정용 라우터는 사용자, 제조사, ISP, 기업 보안팀 사이에서 책임이 분산된 상태이다. 사용자는 펌웨어 업데이트를 잘 알지 못하고, 제조사는 오래된 장비를 더 이상 지원하지 않으며, ISP는 기본 연결 안정성만 관리하고, 기업 보안팀은 직원의 집 안 장비까지 보지 않는다. 이 책임의 공백이 공격 표면으로 전환된다. 이러한 상황 목에 재택근무는 기업망을 집까지 확장했으나 보안 거버넌스는 집까지 확장되지 않았다.

기업은 직원에게 MFA를 적용하고, EDR을 설치하고, 클라우드 접근 정책을 만든다. 하지만 그 직원이 매일 접속하는 라우터가 언제 업데이트되었는지, 원격 관리가 열려 있는지, DNS 설정이 바뀌었는지, EOL 장비인지까지 확인하는 경우는 많지 않다.

공격자는 바로 그 틈을 본다. 클라우드 보안의 약점이 클라우드 내부에 있지 않고 사용자가 클라우드로 들어가는 입구에 있을 수 있는 것이다.

우리나라의 중소기업과 재택근무 환경도 예외가 아니다

이 문제는 우리나라의 중소기업과 소형 사무실 환경에서도 그대로 적용된다. 많은 사업장은 ISP가 제공한 장비나 저가형 공유기를 장기간 사용한다. 병원, 학원, 법무·회계 사무소, 연구소, 소규모 제조업체, 지역 지사와 매장은 클라우드 그룹웨어와 원격 접속, 회계 시스템, 결제 시스템을 사용하지만 네트워크 장비 관리는 상대적으로 느슨하다.

더구나 업무용 PC와 개인 스마트폰, IoT 장비, CCTV, 프린터가 같은 네트워크에 붙어 있는 경우도 많다. 이런 환경에서 라우터가 장악되면 단순히 인터넷 속도가 느려지는 문제가 아닌 인증 경로, 내부망 가시성 등이 함께 흔들린다.

따라서 이 문제는 개인의 보안 습관 문제로만 볼 수 없다. 재택근무자와 소형 사무실의 라우터는 기업 인증 체계의 외곽 장비다. 이 장비가 방치되면 공격자는 가장 관리되지 않는 곳에서 가장 중요한 계정을 노릴 수 있다. 그러므로 각 가정과 중소기업과 소형 사무실에서 사용하는 라우터라는 기기를 바라보는 시선과 대응이 달라져야 한다. 즉, 이런 작은 기기 나아가 개인의 가정에 있다 하더라도 관리의 대상으로 바라봐야 한다.

방어의 출발점도 달라져야 한다

방어의 출발점도 달라져야 한다. 라우터 보안은 더 이상 “가정용 공유기 펌웨어를 업데이트하라”는 생활 보안 수칙을 지킨 것으로 보안 활동을 다 했다고 말 할 수 없다. 기업은 재택근무자와 소형 지사의 라우터를 인증 보안의 외곽 장비로 바라봐야 한다.

최소한 EOL 장비 교체, 펌웨어 업데이트, 기본 관리자 비밀번호 변경, 원격 관리 비활성화, UPnP 제한, DNS 설정 확인, 알 수 없는 포트포워딩 제거는 기본 점검 항목이 되어야 한다. 고위험 직군이나 민감 업무를 수행하는 직원에게는 신뢰할 수 있는 DNS 사용, VPN 강제, 조건부 접근, 인증서 경고 대응 교육, 비정상 로그인 탐지까지 함께 적용해야 한다.

물론 모든 가정용 라우터를 기업이 직접 관리할 수는 없다. 그러나 관리할 수 없다는 이유로 보안 체계에서 제외해서는 안 된다. 재택근무가 일상이 된 환경에서 라우터는 개인 장비와 기업 인증 체계 사이에 놓인 회색 지대다. 이 회색 지대를 계속 방치하면 공격자는 가장 관리되지 않는 곳에서 가장 중요한 계정을 노릴 수 있다.

공격은 기업 밖에서 시작되지만, 기업 안으로 들어오는 길을 안다

결국 라우터 공격 사례가 보여주는 것은 기술의 약점만이 아니다. 그것은 보안 책임의 경계가 현실의 업무 환경을 따라가지 못하고 있다는 사실이다.

과거에는 기업의 경계가 사무실 방화벽 안에 있었다. 그러나 지금 기업의 경계는 직원의 집, 소형 사무실, 클라우드 로그인 페이지, DNS 설정, 라우터 펌웨어까지 흩어져 있다. 공격자는 이 흩어진 경계를 하나씩 연결해 공격 경로를 만든다.

클라우드는 안전했을 수 있다. 계정에도 MFA가 적용되어 있었을 수 있다. 직원의 노트북에는 EDR이 설치되어 있었을 수 있다. 그러나 사용자가 그 모든 보안 장치를 통과하기 위해 지나가는 첫 번째 네트워크 장비가 방치되어 있었다면, 공격자는 다른 길을 선택할 필요가 없다.

라우터는 더 이상 집 안의 작은 공유기가 아니다. 클라우드 시대의 인증 경로를 지키는 첫 번째 관문이다. 그리고 그 관문이 공격자에게 넘어가는 순간, 공격은 기업 밖에서 시작되지만 기업 안으로 들어오는 길을 이미 알고 있다.

Related Materials

• NCSC, APT28 Exploit Routers to Enable DNS Hijacking Operations, 2026
• Microsoft, SOHO Router Compromise Leads to DNS Hijacking and Adversary-in-the-Middle Attacks, 2026
• TP-Link, Technical News and Reports about Quad 7 Botnet aka CovertNetwork-1658, 2025
• Microsoft, Chinese Threat Actor Storm-0940 Uses Credentials from Password Spray Attacks from a Covert Network, 2024
• CISA, People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection, 2024
• CISA, Sandworm Actors Deploy New Cyclops Blink Malware, 2022

당신은 해킹당하지 않았다. 그러나 이미 표적이 되었다

데이터 브로커가 국가안보 문제가 된 이유 개인정보에 대한 보호는 개인의 권리에 관한 문제로 여겨져 왔다. 기업이 과도한 정보를 수집하거나, 해킹으로 인해 개인정보가 유출되거나, 사용자의 동의 없이 정보가 활용되는 사건이 발생할 때마다 사회는 프라이버시 침해를 이야기했다. 그래서 개인정보 보호 역시 개인의 사생활을 지키기 위한 장치로 이해하는 경우가 많다. 그러나 데이터 브로커(

더테크엣지(The Tech Edge)Donghwi Shin

교통은 멈추지 않았지만 복구는 공격당했다

💡Editor Pick - LA 메트로 사건의 핵심은 복구 계층이 공격 대상이 되었다는 점 - 공격자는 백업, 가상화 관리 환경, 운영 화면의 신뢰를 흔드는 방식으로 인프라의 회복력 겨냥 - 핵심 인프라 보안은 침입 차단을 넘어, 스스로 다시 일어설 수 있는 구조를 갖추어야 함 도시의 교통망이 사이버 공격을 받았을 때, 사람들은 가장

더테크엣지(The Tech Edge)Donghwi Shin