한국서도 사용되는 마일사이트 라우터, 해킹 공격에 노출돼

산업용 셀룰러 라우터를 감염시키는 악성 캠페인이 발견됐다. 배후 세력은 자신들이 점거한 라우터들을 통해 악성 문자 메시지를 발송하고 있다고 한다. 단순 장난 문자를 보내는 게 아니라 고도화 된 스미싱 공격을 진행하고 있는 것으로, 이러한 행위는 유럽 국가들 사이에서 최소 2022년 2월부터 시작됐다고 보안 업체 세코이아(SEKOIA)가 고발했다.

캠페인 세부 내용
세코이아에 따르면 이 캠페인에 대해 밝혀낸 주요 사항은 다음과 같다고 한다.
1) 배후 세력 : 알 수 없음
2) 공격 표적 : 마일사이트(Milesight)사의 산업용 셀룰러 라우터
3) 공격 발생국 : 스웨덴, 이탈리아, 벨기에
4) 요주의 산업 : 금융, 우편, 통신, 정부 기관

왜 하필 마일사이트의 라우터가 집중 공략되는 것일까? 특정 API가 외부에 노출돼 있기 때문이다. 즉 API 관리 실패라는 취약점을 해커들이 발견했고, 이를 통해 대단위 캠페인을 진행하고 있다는 것이다. “현재 인터넷을 빠르게 검색해 보면 최소 572대가 문제의 API를 노출시키고 있음을 알 수 있습니다. 이 중 절반은 유럽 대륙 내에 있습니다.” 세코이아의 설명이다.

또 너냐, ‘API 보안’
문제가 되고 있는 API는 인박스(inbox)와 아웃박스(outbox)라는 이름을 가지고 있다. 그런데 이 API들은 수신된 문자 메시지나 발신된 문자 메시지를 조회할 수 있는 권한도 가지고 있다. “그런 특성이 공격의 빌미가 된 것이죠. 공격자들이 문제의 API를 통해 문자 메시지 기반 악성 캠페인을 벌이고 있는 건 이 때문입니다. 그 외 다른 취약점을 찾아내려거나 익스플로잇 하려는 움직임은 아직 보이지 않고 있습니다. 지금의 상황에 최대한 집중하려는 게 공격자들의 의도 같습니다.”

아직 100% 정확한 건 아니지만, 공격자는 CVE-2023-43261이라는 과거 취약점을 익스플로잇 하는 것으로 보인다. “2년 전 발견된 취약점으로, 일종의 ‘정보 유출 취약점’으로 분류됐습니다. CVSS 기준 7.5점으로, 꽤나 심각하다고 할 수 있습니다. 이 취약점을 공격자들이 새롭게 익스플로잇 하고 있는 것일 수도 있고, 비슷하지만 다른 취약점을 발견했을 수도 있습니다.”

실제 공격 시나리오는 어떻게 될까? 세코이아가 구성한 건 다음과 같다.
1) 초기 실험 단계 : 특정 마일사이트 라우터가 문자 메시지 발송 기능을 내포하고 있는지 확인한다. 이 때 공격자들의 전화번호를 대상으로 실험한다.
2) 문자 메시지 발송 : 실험에 통과한 라우터에 접근해 악성 메시지를 발송한다.
3) 피싱 페이지로 유도 : 문자 메시지에는 악성 링크가 걸려 있다. 클릭하면 공격자들이 마련한 사이트로 접속된다. 다만 피해자가 링크를 모바일 기기에서 열렸을 때만 이 단계가 진행된다.
4) 업데이트 요청 메시지 : 링크가 열리면 메시지가 뜬다. 돈을 환급 받으려면 은행 정보를 최신화 해야 한다는 내용이다. 물론 이 ‘환급’은 미끼일 뿐 진짜가 아니다.

이 과정에서 공격자가 CVE-2023-43261 취약점 익스플로잇에 반드시 성공해야만 하는 건 아니다. “해당 취약점이 존재하지 않는 최신 펌웨어가 돌아가고 있다고 하더라도, 사용자가 API 설정을 잘못한다면 얼마든지 접근할 수 있게 됩니다. 취약점 익스플로잇에 더해 설정 오류에 대한 익스플로잇 공격도 가미됐을 가능성도 높아 보입니다.”

한국, 안심 금물
마일사이트의 장비는 한국에서도 사용되고 있다. 소유주를 정확히 알 수 없는 어떤 공장에서 모니터링 강화 프로젝트를 성공시켰다는 내용의 구축 사례가 마일사이트 공식 웹사이트에 소개돼 있을 정도다. 게다가 한국 시장 진출에 꼭 필요한 KC 인증에도 관심이 있는 것으로 알려져 있다. 여기서 말하는 ‘진출’은 지사 개설을 말한다. 단순히 영업과 판매 대행을 하는 조직은 이미 한국에 존재한다. 다만 얼마나 널리 혹은 조금 사용되고 있는지는 정확히 파악되지 않는다. 

이번 캠페인의 배후에 있는 공격자들이 ‘유럽만’ 노린다는 증거는 아직 발견되지 않았다. 다만 노출된 라우터가 유럽 대륙에 유독 많이 있을 뿐이다. 그렇다는 건 마일사이트를 사용하는 한국 내 조직들 역시 위험에 처할 수 있다는 의미가 된다. 

따라서 마일사이트 라우터를 사용하고 있거나 사용이 의심된다면 다음과 같은 조치를 취하는 것이 안전하다.
1) 네트워크에 연결된 자산 중 마일사이트 라우터가 있는지 확인
2) 확인된다면 전수를 파악
3) 모든 장비들의 펌웨어 버전을 확인해 최신화
4) 인박스와 아웃박스 API가 어떻게 설정돼 있는지 확인한 후 인터넷으로부터의 접근을 차단
5) 약한 크리덴셜이 있다면 변경

Related Materials

• Milesight routers, Titan SFTP servers impacted by severe bugs (CVE-2023-43261) exploited in ongoing attacks - SC World, 2024년
• Milesight Industrial Router Faces Multiple RCE Vulnerabilities: Cisco Talos Report, 2023년
• Hackers Exploit Milesight Routers to Send Phishing SMS in European Smishing Campaigns - The Hacker News, 2025년
• Hackers Use Cellular Router API to Send Malicious SMS: Milesight Vulnerabilities Exploited - GBHackers, 2025년

접근 제어 솔루션 원로그인에서 API 관리 부실 취약점 나와

💡Editor’s Pick - 원로그인에서 발견된 CVE-2025-59363 - client_secret이라는 민감 정보 노출시켜 - API 관리 개념 부족해서 생긴 취약점 인기 높은 아이덴티티 및 접근 관리 솔루션인 원로그인(OneLogin)에서 심각한 보안 취약점이 발견됐다. 이를 익스플로잇 하는 데 성공한 공격자는 민감한 정보를 가져갈 수 있게 된다고 한다. 해당 취약점에는 CVE-2025-59363이라는 관리

The Tech Edge문가용 기자

트럼프 추종자들만 쓰는 텔레메시지 앱, 민감 정보 노출

💡Editor’s Pick - 시그널 기반 텔레메시지, 인증 메커니즘이 낡아 - 인증 과정 없이 특정 엔드포인트가 전체 공개돼 - 각종 민감 정보 포함될 수 있는 엔드포인트라 문제 보안 채팅 앱인 텔레메지시SGNL(TeleMessage SGNL)이 익스플로잇 공격에 노출됐다. 사용자들 간 오갔던 민감 정보들이 인터넷에 대량으로 노출됐다. 문제의 근원에는 CVE-2025-48927이라는 취약점이 있다고 보안

The Tech Edge문가용 기자