---
title: "Asus 라우터 1만4천 대 감염된 KadNap 봇넷, P2P 구조라 테이크다운도 어려움"
published: 2026-03-11T22:23:06.000Z
canonical: https://jeff.news/article/443
---
# Asus 라우터 1만4천 대 감염된 KadNap 봇넷, P2P 구조라 테이크다운도 어려움

Kademlia 기반 P2P 구조를 사용하는 KadNap 봇넷이 주로 Asus 라우터 14,000대를 감염시킴. DHT로 C2를 은닉해 기존 테이크다운 방식이 통하지 않으며, 감염 장비는 Doppelganger 프록시 서비스에 악용됨.

- KadNap이라는 봇넷이 주로 Asus 라우터를 중심으로 약 14,000대를 감염시킴. 작년 8월 발견 당시 10,000대에서 꾸준히 늘어난 수치. 감염 장비 대부분이 미국에 위치함
- 제로데이를 쓰는 건 아니고 패치 안 된 취약점을 악용함. Asus 라우터 비율이 높은 건 해당 모델 취약점에 대한 안정적인 익스플로잇을 확보했기 때문으로 추정
- 이 봇넷의 핵심 특징은 Kademlia 기반 P2P 구조임. 분산 해시 테이블(DHT)을 사용해 C2 서버 IP를 숨기기 때문에 기존 방식으로는 테이크다운이 거의 불가능함
- DHT 동작 원리를 쉽게 설명하면 — 비밀 암구호를 들고 이웃 노드에 물어보면, 그 노드가 "나는 모르지만 이쪽 사람들이 알 수도 있어"라고 안내해주는 식으로 점점 타깃에 가까워짐. 최종적으로 맞는 노드를 찾으면 포트 22 방화벽 설정 파일과 C2 주소를 받는 구조
- Kademlia는 160비트 공간에서 XOR 거리로 라우팅하고, BitTorrent 노드를 통해 검색 키를 획득함. 비트토렌트·IPFS 등에서 쓰이는 검증된 P2P 프로토콜을 악용한 것
- 감염된 장비는 Doppelganger라는 유료 프록시 서비스의 트래픽을 중계하는 데 쓰임. 깨끗한 IP 평판의 가정용 회선을 통해 익명 트래픽을 터널링하는 서비스
- Black Lotus Labs가 C2 인프라 트래픽을 차단하는 방법을 개발함. IoC도 공개 피드로 배포 중
- 감염 의심 시 반드시 공장 초기화(factory reset)를 해야 함. 재부팅만 하면 쉘 스크립트가 살아남아서 다시 감염됨. 펌웨어 업데이트, 강력한 비밀번호 설정, 원격 접속 비활성화도 필수

## 핵심 포인트

- Asus 라우터 중심 14,000대 감염, 작년 8월 대비 40% 증가
- Kademlia DHT 기반 P2P로 C2 은닉, 기존 테이크다운 무력화
- 패치 안 된 취약점 악용(제로데이 아님), 미국 소재 장비가 대다수
- Black Lotus Labs가 차단법 개발, 감염 시 공장 초기화 필수

## 인사이트

비트토렌트에서 검증된 P2P 프로토콜을 봇넷 C2에 그대로 적용한 사례. 탈중앙화 네트워크의 장점이 공격자에게도 그대로 적용된다는 점을 보여줌.