법무부, 러시아 군 정보 부대의 미국 대상 공격에 대응

법무부, 러시아 군 정보 부대의 미국 대상 공격에 대응

Kimberly Hayek (The Epoch Times 기고, 강조 부분은 우리 강조)

법무부와 FBI는 화요일, 러시아 군 정보 부대에 의해 장악된 미국 내 소규모 사무실 및 재택 사무실 라우터 네트워크의 일부를 무력화하기 위해 법원의 승인을 받은 기술 작전을 수행했다고 밝혔습니다.
2026년 3월 11일 워싱턴 D.C. 법무부. Madalina Kilroy/The Epoch Times

러시아 군 26165 부대(APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear, Sednit로도 알려짐)는 러시아 총참모부 정보총국 소속으로, 전 세계적으로 악성 도메인 이름 시스템(DNS) 하이재킹 작전을 실행하기 위해 라우터를 장악했습니다.

이들은 미국 군인, 미국 정부, 그리고 러시아 정부가 정보를 얻을 것으로 예상했던 중요 인프라를 표적으로 삼았습니다.

펜실베이니아 동부 지구의 미국 검사 David Metcalf는 중요 데이터가 장악되었다고 말했습니다.

Metcalf는 "우리 국가 적들의 지속적인 공격에 직면하여 미국 정부는 그에 상응하는 공격적인 대응을 할 것"이라며 "FBI 및 전 세계 파트너들과 협력하여 국가 사이버 보안에 대한 이러한 위협을 무력화하고 폭로하기 위해 최선을 다하고 있다"고 말했습니다.

FBI 사이버 부서의 Brett Leatherman 차장은 미국 및 전 세계 라우터가 장악되었으며, FBI는 미국 국민을 표적으로 삼는 국가 지원 행위자들을 식별하고 비용을 부과하기 위해 계속해서 권한을 사용할 것이라고 말했습니다.

Leatherman은 "이 위협의 규모를 고려할 때 경고하는 것만으로는 충분하지 않았다"며 "FBI는 미국 전역의 장악된 라우터를 강화하기 위해 법원의 승인을 받은 작전을 수행했다"고 말했습니다.

Operation Masquerade라고 불리는 FBI 작전은 일상적인 소비자 기기를 악용하는 지속적인 러시아 국가 지원 사이버 위협을 약화시키기 위한 가장 최근의 미국 조치입니다.

2024년부터 GRU 행위자들은 전 세계 TP-Link 라우터의 알려진 취약점을 공격하여 관리자 자격 증명을 훔쳤습니다. 그런 다음 장치에 대한 무단 액세스를 얻고 설정을 변경하여 GRU 제어 악성 리졸버로 DNS 쿼리를 리디렉션했습니다.

행위자들은 가로채기 전에 고가치 트래픽을 식별하기 위해 자동화된 필터를 설정했습니다. 악성 리졸버는 Microsoft Outlook Web Access를 포함하여 합법적인 서비스처럼 보이는 사기성 DNS 레코드를 반환했습니다.

이를 통해 피해자들이 암호화된 네트워크 트래픽이라고 생각했던 것에 대한 중간자 공격이 가능해졌습니다. GRU는 장악된 라우터의 로컬 네트워크에 있는 장치에서 암호화되지 않은 비밀번호, 인증 토큰, 이메일 및 기타 민감한 데이터를 수확할 수 있었습니다.

이 작전에는 Lumen의 Black Lotus Labs, Microsoft Threat Intelligence, MIT Lincoln Laboratory의 기술적 기여가 포함되었습니다.

FBI 보스턴 지부장 Ted E. Docks는 "Operation Masquerade는 FBI 보스턴 지부에서 주도했다. 이는 23개 이상의 주에 있는 무고한 미국인의 라우터를 무기화하여 민감한 정부, 군사 및 중요 인프라 정보를 훔친 러시아 GRU로부터 우리의 조국을 방어하는 최신 사례를 보여준다"고 말했습니다.

그는 FBI가 최첨단 기술을 사용하고 민간 부문 및 국제 파트너를 활용하여 악성 활동에 대처하고 라우터를 복구했다고 언급했습니다.

펜실베이니아 동부 지구에 제출된 사건의 법원 문서는 FBI가 미국 내 영향을 받은 라우터에만 전송되는 명령을 어떻게 개발하고 테스트했는지 자세히 설명합니다.

이 명령들은 GRU 계획의 증거를 밝히고, 장치의 DNS 설정을 인터넷 서비스 제공업체의 합법적인 리졸버로 재설정했으며, 원래의 무단 액세스 지점을 차단했습니다. TP-Link 라우터 펌웨어 및 하드웨어 설정은 작전이 정상적인 라우터 기능을 방해하거나 사용자의 개인 데이터를 수집하지 않을 것임을 확인했습니다.

합법적인 소유자는 하드웨어 버튼을 통한 공장 초기화 또는 라우터 웹 인터페이스를 통한 수동 설정 복원을 통해 설정을 변경할 수 있습니다.

FBI는 또한 인터넷 서비스 제공업체와 협력하여 영향을 받은 사용자에게 알리고 있습니다.

소규모 사무실 및 재택 사무실 라우터 소유자는 수명이 다했거나 지원이 종료된 장치를 교체하고, 최신 펌웨어로 업그레이드하며, DNS 리졸버가 인터넷 서비스 제공업체가 제공하는 것과 동일한지 확인하고, 불필요한 원격 관리 액세스를 방지하기 위해 방화벽 규칙을 검토하는 것이 좋습니다.

GRU의 26165 부대는 2025년 5월 사이버 보안 및 인프라 보안국 및 국제 파트너들의 합동 자문의 대상이었으며, 이 부대가 우크라이나에 지원을 제공하는 서방 물류 및 기술 회사를 어떻게 공격했는지 설명했습니다. 2022년부터 시작된 이 캠페인은 미국, 독일, 프랑스를 포함한 13개국 조직에 영향을 미쳤습니다.

2025년 4월, 프랑스 당국은 2021년부터 시작된 일련의 해킹이 동일한 GRU 부대의 소행이라고 밝혔습니다.

프랑스 외무장관 Jean-Noël Barrot는 소셜 미디어 플랫폼 X에 "러시아 군 정보국(GRU)은 수년 동안 프랑스를 상대로 APT28이라는 사이버 공격 작전 방식을 전개해왔다. 2021년부터 약 10개의 프랑스 기관을 표적으로 삼았다"고 썼습니다.

2024년 2월의 무력화 작전에서 법무부는 전 세계 수백 개의 소규모 또는 재택 사무실 라우터를 멀웨어로 공격한 GRU 제어 봇넷을 해체했습니다. FBI는 동일한 멀웨어를 사용하여 도난당한 데이터를 복사 및 삭제하는 동시에 방화벽 규칙을 변경하여 원격 관리 액세스를 차단했습니다.

Tyler Durden
2026년 4월 8일 수요일 - 17:40