고브루트포서 봇넷, AI 생성 취약 계정 악용해 암호화폐 DB 공격

2026.01.14 16:26:33

[무료 초대] 2026 제조AX 대전망 온라인 컨퍼런스에서 피지컬AI, 제조AI, 지능형 로봇, 스마트물류, 스마트공정제어, 품질혁신, 자율제조SW, ESG까지 만나보세요 (2.2~6)

취약한 자격 증명을 악용해 암호화폐 및 블록체인 프로젝트의 데이터베이스를 감염시키는 새로운 '고브루트포서(GoBruteforcer)' 봇넷 공격이 기승을 부리고 있다.

보안 기업 체크포인트 리서치(Check Point Research)는 지난주 발표한 분석 보고서에서 "최근의 공격은 인공지능(AI)이 생성한 서버 배포 예제에 포함된 흔한 사용자 이름과 취약한 기본 설정을 대량으로 재사용한 것과, FTP 및 관리자 인터페이스를 최소한의 보안 강화만으로 노출시키는 XAMPP와 같은 레거시 웹 스택의 지속적인 사용, 이 두 가지 요인에 의해 주도된다"고 밝혔다.

고브루트포서(또는 고브루트)는 2023년 3월 팔로알토 네트웍스 유닛 42(Palo Alto Networks Unit 42)에 의해 처음 보고되었다. 이 봇넷은 x86, x64, ARM 아키텍처를 실행하는 유닉스 계열 플랫폼을 표적으로 삼아 인터넷 중계 채팅(IRC) 봇과 원격 접속을 위한 웹 셸을 배포하는 능력을 갖췄다. 또한 브루트포스 모듈을 이용해 취약한 시스템을 검색하며 봇넷의 범위를 확장한다.

루멘 테크놀로지스(Lumen Technologies)의 블랙 로터스 랩스(Black Lotus Labs) 팀이 2025년 9월 발표한 후속 보고서에 따르면, 시스템BC(SystemBC)라는 다른 악성코드에 감염된 봇의 상당수가 고브루트포서 봇넷의 일부인 것으로 나타났다.

체크포인트는 2025년 중반에 더 정교해진 버전의 고랭(Golang) 기반 악성코드를 확인했다고 밝혔다. 이 버전은 고도로 난독화된 IRC 봇을 포함하고 있으며, 지속성 유지 메커니즘, 프로세스 은폐 기술, 동적 자격 증명 목록 등이 개선되었다.

이 자격 증명 목록에는 원격 로그인을 허용할 수 있는 일반적인 사용자 이름과 비밀번호 조합(예: myuser:Abcd@123)이 포함되어 있다. 체크포인트에 따르면 이러한 이름들은 데이터베이스 튜토리얼이나 공급업체 문서에서 사용된 것들로, 대규모 언어 모델(LLM) 훈련에 사용되면서 모델이 동일한 기본 사용자 이름으로 코드 조각을 생성하게 만드는 원인이 되었다.

목록에 있는 다른 사용자 이름 중 일부는 암호화폐에 초점을 맞추거나(예: cryptouser, crypto) phpMyAdmin 패널을 겨냥하고(예: root, wordpress) 있다.

체크포인트는 "공격자들은 각 캠페인마다 작고 안정적인 비밀번호 풀을 재사용하고, 그 풀에서 작업별 목록을 새로고침하며, 사용자 이름과 특정 대상을 겨냥한 추가 목록을 일주일에 여러 번 교체한다"고 설명했다. 이어 "다른 서비스와 달리 FTP 브루트포스는 공격용 바이너리에 하드코딩된 소규모 자격 증명 세트를 사용하는데, 이는 웹 호스팅 스택과 기본 서비스 계정을 가리킨다"고 덧붙였다.

체크포인트가 관찰한 활동에서 공격자들은 XAMPP를 실행하는 서버의 외부에 노출된 FTP 서비스를 초기 접근 경로로 사용해 PHP 웹 셸을 업로드했다. 이후 시스템 아키텍처에 기반한 셸 스크립트를 통해 업데이트된 버전의 IRC 봇을 다운로드하고 실행했다. 호스트가 성공적으로 감염되면 세 가지 다른 용도로 사용될 수 있다. 인터넷 전반에 걸쳐 FTP, MySQL, Postgres, phpMyAdmin에 대한 암호 로그인을 시도하는 브루트포스 구성 요소를 실행하거나, 다른 감염된 시스템에 페이로드를 호스팅 및 제공하거나, IRC 스타일의 제어 엔드포인트를 호스팅하거나 복원력을 위한 백업 명령 제어(C2) 서버 역할을 하는 것이다.

캠페인에 대한 추가 분석 결과, 감염된 호스트 중 하나가 트론(TRON) 블록체인 주소 목록을 순회하며 잔액을 조회하는 모듈을 실행하는 데 사용된 것으로 확인됐다. 이는 자금이 있는 계정을 식별하려는 시도로, 블록체인 프로젝트를 겨냥한 조직적인 노력을 시사한다.

체크포인트는 "고브루트포서는 노출된 인프라, 취약한 자격 증명, 그리고 점차 자동화되는 도구의 조합이라는 더 광범위하고 지속적인 문제를 보여준다"며 "봇넷 자체는 기술적으로 간단하지만, 운영자들은 온라인에 남아있는 수많은 잘못 구성된 서비스를 통해 이익을 얻고 있다"고 지적했다.

한편, 위협 인텔리전스 기업 그레이노이즈(GreyNoise)는 공격자들이 상용 LLM 서비스에 접근할 수 있는 잘못 구성된 프록시 서버를 찾기 위해 인터넷을 체계적으로 검색하고 있다고 밝혔다.

그레이노이즈가 밝힌 두 개의 캠페인 중 하나는 2025년 10월부터 2026년 1월 사이에 서버 측 요청 위조(SSRF) 취약점을 이용해 올라마(Ollama)의 모델 가져오기 기능과 트윌리오(Twilio)의 SMS 웹훅 통합을 목표로 삼았다. 이 활동은 보안 연구원이나 버그 바운티 헌터로부터 비롯되었을 가능성이 제기된다.

2025년 12월 28일부터 시작된 두 번째 활동은 알리바바, 앤스로픽, 딥시크, 구글, 메타, 미스트랄, 오픈AI, xAI와 관련된 노출되거나 잘못 구성된 LLM 엔드포인트를 식별하기 위한 대규모 탐색 작업으로 평가된다. 그레이노이즈는 "11일 동안 두 개의 IP 주소에서 73개 이상의 LLM 모델 엔드포인트를 체계적으로 조사해 8만 469개의 세션을 생성했다"며 "이는 상용 API에 대한 접근을 유출할 수 있는 잘못 구성된 프록시 서버를 찾기 위한 정찰 활동"이라고 밝혔다.

헬로티 |

헬로티 의 전체기사 보기