미국 법무부가 독일, 캐나다와 공조해 전 세계적으로 300만 대가 넘는 기기를 감염시킨 것으로 추정되는 4개 주요 봇넷의 인프라를 무력화했다고 2026년 3월 19일 발표했다. 해당 봇넷은 Aisuru, KimWolf, JackSkid, Mossad로 명명된 악성 네트워크로, 대규모 분산서비스거부(DDoS) 공격을 수행하는 데 사용됐다. 미 법무부는 이들 봇넷에 의해 수백만 건의 장치가 감염되었고 그중 수십만 대가 미국 내에서 발견됐다고 밝혔다.
2026년 3월 20일, 로이터의 보도에 따르면, 이번 작전은 미국과 독일, 캐나다에서 동시다발적으로 진행되었으며 봇넷을 운영한 배후 인물을 겨냥해 인프라 접근권을 차단하는 방식으로 수행되었다. 발표문은 특히 미 국방부(Department of Defense)의 일부 웹사이트가 공격 대상에 포함되었다고 명시했다. 사건 보도는 마리아 츠베트코바(Maria Tsvetkova) 기자에 의해 전해졌다.
영향을 받은 장치의 대다수는 이른바 사물인터넷(IoT: Internet of Things) 기기로, 웹캠, 디지털 비디오 레코더(DVR), 와이파이 라우터 등 인터넷에 연결된 가전·장비가 중심이었다. 법무부는 이들 봇넷 운영자들이 수십만 건의 DDoS 공격을 수행해 전 세계의 컴퓨터와 서버를 표적화했다고 밝혔다. 일부 사례에서는 피해자들에게 금전적 요구를 제기하기도 했다고 했다.
“오늘의 네 개 강력한 봇넷 교란 조치는 국방부와 그 전투원을 향한 신흥 사이버 위협을 제거하겠다는 우리의 의지를 강조한다.”
케네스 데셸리스(Kenneth DeChellis), 국방부 수사국(Department of Defense Investigative Service)에서 책임을 맡고 있는 특별 수사관은 위와 같이 말했다. 데셸리스의 발언은 이번 작전이 단순히 인프라 차단에 그치지 않고 국방 관련 네트워크 보호를 중요한 목표로 삼았음을 분명히 나타낸다.
법무부 성명은 또한 이번 작전에 협력한 거의 20여 개의 주요 기술 기업을 나열했다. 여기에는 아마존 웹서비스(Amazon Web Services), 구글(Google), 페이팔(PayPal), 노키아(Nokia) 등이 포함됐다. 또한 유럽연합 집행기관의 법집행 협력체계인 유로폴(Europol)의 PowerOff 팀이 언급되었는데, 이 팀은 2017년부터 DDoS 공격을 중심으로 한 사이버 범죄와의 전쟁을 지속해 왔다.
작전 방식과 법적·기술적 접근
법무부의 발표에 따르면 이번 작전은 단기간의 기술적 차단과 정보 공유, 국제 공조를 결합한 다층적 전략으로 수행되었다. 기술적 차단은 봇넷이 사용하던 명령·제어(C2) 서버 및 관련 도메인에 대한 접근을 차단하거나 통제권을 박탈하는 방식으로 이뤄졌다. 또한 글로벌 클라우드 제공업체와 결제 서비스 사업자의 협력이 조기 진단과 피해 확산 방지에 중요한 역할을 했다.
용어 설명: 봇넷, DDoS, 사물인터넷(IoT)
일반 독자들이 혼동할 수 있는 핵심 용어를 정리하면 다음과 같다. 봇넷(botnet)은 악성코드에 감염된 다수의 컴퓨터·장치를 원격에서 통제하는 네트워크를 일컬으며, 공격자는 이를 통해 대량의 트래픽을 발생시키거나 스팸 발송, 개인정보 탈취 등 다양한 악의적 행위를 수행할 수 있다. DDoS(분산서비스거부) 공격은 다수의 감염된 장치로 목표 서버·네트워크에 동시다발적 트래픽을 쏟아 부어 정상적인 서비스 제공을 방해하는 공격 방식이다. 사물인터넷(IoT)은 인터넷에 연결된 각종 기기들을 지칭하며 보안 취약성이 방치될 경우 대규모 봇넷의 원천이 될 수 있다.
실무적·정책적 시사점
이번 사건은 몇 가지 중대한 시사점을 제시한다. 첫째, IoT 기기의 보안 취약성은 여전히 글로벌 사이버 위협의 핵심 동력이다. 제조사와 서비스 제공업체가 기본 보안 설정(예: 초기 비밀번호 변경, 펌웨어 자동 업데이트, 불필요한 포트 차단)을 우선 적용하지 않을 경우 단일 취약점이 수백만 대의 감염으로 이어질 수 있다. 둘째, 클라우드·결제·네트워크 사업자의 협업이 신속한 대응에 결정적이라는 점이 확인됐다. 대규모 인프라를 운용하는 기업의 협력 없이는 C2 인프라를 효과적으로 차단하기 어렵다.
셋째, 국제 공조의 중요성이 재확인되었다. 이번 작전은 미국, 독일, 캐나다 등 세 국가의 동시 협력과 유럽 집행기관의 지원, 민간 기업의 기술 협력이 결합된 사례다. 사이버 공간은 국경을 초월하므로 법적 절차의 신속성, 정보공유 메커니즘, 공조 체계의 정비가 필수적이다.
경제적 영향 및 관련 산업 전망
경제 측면에서 이번과 같은 대규모 봇넷 차단 사건은 단기적으로는 사이버 보안 산업의 수요를 촉진할 가능성이 크다. 기업과 공공기관은 DDoS 완화 서비스, 침해 탐지·대응(EDR/XDR), IoT 보안 솔루션, 네트워크 모니터링 툴에 대한 투자를 늘릴 수밖에 없다. 특히 클라우드 서비스 사업자는 보안 기능을 강화해 고객 유치와 신뢰 회복을 도모할 기회를 가지게 된다. 반면, 광범위한 피해와 서비스 중단 사례가 공개되면 피해를 본 기업의 리스크 관리 비용과 보험료가 상승할 수 있다.
금융시장 관점에서는 직접적인 주가 충격이 즉각 나타나기보다는 장기적으로 보안 관련 기업의 가치 재평가가 일어날 가능성이 크다. DDoS 대응 능력과 IoT 보안 포트폴리오를 보유한 기업들은 긍정적 수혜를 입을 것으로 보인다. 반면, 보안 취약점을 가진 제품을 제공한 기업들은 규제·소송 리스크로 인해 비용 증가가 불가피하다.
일반 사용자와 기관을 위한 권고
일반 가정과 기업 네트워크 관리자에게는 몇 가지 실천적 권고를 제시한다. 첫째, IoT 기기의 기본 비밀번호를 즉시 변경하고 정기적으로 펌웨어를 업데이트할 것. 둘째, 불필요한 원격 접근 포트와 서비스는 차단하고, 가능하면 네트워크 분리(VLAN, 게스트 네트워크)를 통해 주요 시스템과 IoT 기기를 분리할 것. 셋째, 기업은 DDoS 완화 서비스와 침해 대응 계획을 마련해 모의 공격 훈련과 사고 대응 프로세스를 점검할 것. 넷째, 클라우드와 외부 공급망에 대한 보안 검토를 강화해 잠재적 위협 지점을 사전에 제거할 것.
법적·정책적 차원에서는 제조사에 대한 보안 기준 강화, 제품 수명 주기 동안의 보안 지원 의무화, 국제 공조를 통한 정보공유 메커니즘 개선이 요구된다. 또한 피해 기업과 개인을 위한 신고·지원 체계 정비도 병행되어야 한다.
법무부는 이번 작전이 봇넷 인프라를 무력화하는 데 중점을 뒀다고 밝혔지만, 향후 관련 수사가 어떻게 진행될지, 배후의 조직적 연계와 자금 흐름이 어떤 결론을 낼지는 추가 발표를 통해 확인될 것이다. 이번 사례는 기술적 차단과 국제 협력이 결합될 때 사이버 위협을 효과적으로 축소할 수 있음을 보여주는 한편, IoT 보안 강화와 민·관·국제 협력의 필요성을 다시 한 번 부각시켰다.
