감염 시 공장초기화 외 치료법 없어
미국 사이버 보안 인프라 보안국 CISA와 영국 국립 사이버 보안센터 NCSC가 큐냅 나스(QNAP NAS)를 감염시키는 대규모 큐스내치(QSnatch)악성코드 캠페인에 대해 경고했다.
큐스내치는 나스 펌웨어를 장악한 후 나스 시스템의 일부로 위장해 각종 악성행위를 저지르는 악성코드로, 지난 2014년부터 꾸준히 발견되고 있다.
발표에 따르면 현재 전 세계적으로 큐스내치에 감염된 큐냅 나스는 약 6만 2천 대 이상이며, 미국에선 7600 대 이상, 영국에선 3900대 이상이 감염된 것으로 확인되고 있다.
해커는 큐스내치 멀웨어에 감염된 NAS에 ▲백도어 생성 ▲임의의 코드 실행 ▲운영 체제 시간 초과 작업 및 스크립트 수정 ▲업데이트 방해 ▲ 큐냅 멀웨어 제거 앱(QNAP MalwareRemover) 실행 차단 ▲장치 관련 모든 계정정보 유출 ▲해킹을 위한 새로운 모듈 로드(랜섬웨어 유포 등) ▲일정 간격으로 해커의 공격 서버에 연결(콜홈) 등의 악성 행위를 수행할 수 있게 된다,
CISA와 NCSC는 큐스내치 감염 시 공장초기화를 통해 악성코드를 제거하면 된다고 설명하고 있다. 공장초기화 후에는 ▲기기 모든 계정의 비밀번호 변경 ▲알 수 없는 사용자 계정 제거 ▲장치 펌웨어와 응용프로그램 최신 버전 업데이트 ▲알 수 없거나 사용하지 않는 응용프로그램 제거 ▲앱센터를 통한 큐냅 멀웨어 제거 앱 설치 ▲장치 액세스 목록 설정 등의 추가 조치를 취해야 한다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성되었습니다.