공격 볼륨도 높고 지속시간도 긴 디도스 공격 감행
IPv6도 곧 공격에 활용되기 시작할까?
[보안뉴스 문가용] 보안 전문업체인 수쿠리(Sucuri)에서 전 세계 2만 5천여 대의 CCTV들을 활용한 대규모 봇넷을 발견했다고 당사 블로그를 통해 밝혔다.
수쿠리는 자신들의 고객사 중 하나인 보석상의 웹 사이트에 가해졌던 디도스 공격을 조사하다가 해당 봇넷을 발견했다고 블로그를 통해 설명했다. “분석 결과 레이어 7 공격 혹은 HTTP 플러딩 공격이었습니다. 초당 3만 5천 건의 HTTP 요청을 생성하는 것이었죠.” 그래서 수쿠리는 보석상 웹 사이트의 DNS를 수쿠리 네트워크로 바꿔 문제를 해결했다.
“보통의 디도스 공격이었으면 이걸로 사건 해결이었겠죠.” 하지만 사이트가 정상 복구된 후 공격은 다시 시작되었고, 심지어 더 거세졌다. 초당 5만 건의 HTTP 요청이 생성되기 시작한 것. 이 공격은 며칠 동안 지속되었다. “이렇게 장기간에 걸친 디도스 공격은 흔치 않은 거라, 저희도 본격적으로 수사에 나섰습니다. 그리고 놀랍게도 사물인터넷 CCTV 기기들만으로 구성된 봇넷을 발견할 수 있었습니다.”
사물인터넷 기기를 활용한 봇넷 형성 및 디도스 공격이 그리 놀라운 건 아니다. “하지만 순수하게 CCTV 기기들만으로 구성된 봇넷도 처음 보는 것이고, 그런 봇넷이 이렇게 볼륨이 큰 공격을 장기간 지속할 수 있다는 것도 새로웠습니다.” 게다가 IP의 위치를 추적해보니 전 세계 곳곳에서부터 공격이 들어오고 있었다. “한두 시간 만에 25,513개의 고유한 IP 주소에서부터 디도스 트래픽이 들어오더군요.”
지역별로 분석한 결과 대만이 24%로 1위, 미국이 12%, 인도네시아 9%, 멕시코 8%, 말레이시아 6%, 이스라엘 5%, 이탈리아 5%, 베트남 2%, 프랑스 2%, 스페인 2%로 나타났다. “이 10개국 외에도 약 95개의 국가가 더 있습니다.”
해당 IP 주소들을 전부 분석했더니 한 가지 공통점이 나왔다. 크로스 웹 서버(Cross Web Server)를 사용하고 있었고, DVR Components라는 타이틀을 가진 디폴트 HTTP 페이지가 굉장히 비슷했다. “거기서부터 혹시 CCTV가 개입된 게 아닐까 하는 의심을 품기 시작했습니다.” 그리고 더 파봤더니 회사 로고들이 등장하기 시작했다. CCTV 리셀러 및 생산업체들이었다. H.264 DVR(46%), ProvisionISR(8%), QSEE(5%), Questek(5%), TechnoMate(5%) 등이었다.
또 주목해야 할 건 IPv6를 사용하는 CCTV 기기들도 이번 봇넷에서 발견되었다는 것이다. “아직 IPv6를 통한 디도스 공격이 매우 드문 때입니다. 하지만 이번에 발견한 봇넷의 경우 전체 공격의 약 5%가 IPv6를 통해 이루어졌습니다. 언젠가 IPv6가 더 대중화되면 이런 일이 벌어질 걸 예상하고는 있었지만 이렇게 빨리 발견될 줄은 몰랐습니다.”
CCTV 카메라 벤더나 생산자, 온라인 카메라 사용자가 자신들의 제품 및 네트워크를 보호하기 위해서 할 수 있는 일은 그다지 많지 않다고 수쿠리는 안타깝게 결론 부분을 써내려갔다. “최신 패치를 적용하고 인터넷에서 분리시켜서 보관하십시오. 이는 단지 카메라나 CCTV에만 해당하는 얘기가 아닙니다. 인터넷과 연결이 가능한 모든 기기를 이런 식으로 보관해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
IPv6도 곧 공격에 활용되기 시작할까?
[보안뉴스 문가용] 보안 전문업체인 수쿠리(Sucuri)에서 전 세계 2만 5천여 대의 CCTV들을 활용한 대규모 봇넷을 발견했다고 당사 블로그를 통해 밝혔다.
수쿠리는 자신들의 고객사 중 하나인 보석상의 웹 사이트에 가해졌던 디도스 공격을 조사하다가 해당 봇넷을 발견했다고 블로그를 통해 설명했다. “분석 결과 레이어 7 공격 혹은 HTTP 플러딩 공격이었습니다. 초당 3만 5천 건의 HTTP 요청을 생성하는 것이었죠.” 그래서 수쿠리는 보석상 웹 사이트의 DNS를 수쿠리 네트워크로 바꿔 문제를 해결했다.
“보통의 디도스 공격이었으면 이걸로 사건 해결이었겠죠.” 하지만 사이트가 정상 복구된 후 공격은 다시 시작되었고, 심지어 더 거세졌다. 초당 5만 건의 HTTP 요청이 생성되기 시작한 것. 이 공격은 며칠 동안 지속되었다. “이렇게 장기간에 걸친 디도스 공격은 흔치 않은 거라, 저희도 본격적으로 수사에 나섰습니다. 그리고 놀랍게도 사물인터넷 CCTV 기기들만으로 구성된 봇넷을 발견할 수 있었습니다.”
사물인터넷 기기를 활용한 봇넷 형성 및 디도스 공격이 그리 놀라운 건 아니다. “하지만 순수하게 CCTV 기기들만으로 구성된 봇넷도 처음 보는 것이고, 그런 봇넷이 이렇게 볼륨이 큰 공격을 장기간 지속할 수 있다는 것도 새로웠습니다.” 게다가 IP의 위치를 추적해보니 전 세계 곳곳에서부터 공격이 들어오고 있었다. “한두 시간 만에 25,513개의 고유한 IP 주소에서부터 디도스 트래픽이 들어오더군요.”
지역별로 분석한 결과 대만이 24%로 1위, 미국이 12%, 인도네시아 9%, 멕시코 8%, 말레이시아 6%, 이스라엘 5%, 이탈리아 5%, 베트남 2%, 프랑스 2%, 스페인 2%로 나타났다. “이 10개국 외에도 약 95개의 국가가 더 있습니다.”
해당 IP 주소들을 전부 분석했더니 한 가지 공통점이 나왔다. 크로스 웹 서버(Cross Web Server)를 사용하고 있었고, DVR Components라는 타이틀을 가진 디폴트 HTTP 페이지가 굉장히 비슷했다. “거기서부터 혹시 CCTV가 개입된 게 아닐까 하는 의심을 품기 시작했습니다.” 그리고 더 파봤더니 회사 로고들이 등장하기 시작했다. CCTV 리셀러 및 생산업체들이었다. H.264 DVR(46%), ProvisionISR(8%), QSEE(5%), Questek(5%), TechnoMate(5%) 등이었다.
또 주목해야 할 건 IPv6를 사용하는 CCTV 기기들도 이번 봇넷에서 발견되었다는 것이다. “아직 IPv6를 통한 디도스 공격이 매우 드문 때입니다. 하지만 이번에 발견한 봇넷의 경우 전체 공격의 약 5%가 IPv6를 통해 이루어졌습니다. 언젠가 IPv6가 더 대중화되면 이런 일이 벌어질 걸 예상하고는 있었지만 이렇게 빨리 발견될 줄은 몰랐습니다.”
CCTV 카메라 벤더나 생산자, 온라인 카메라 사용자가 자신들의 제품 및 네트워크를 보호하기 위해서 할 수 있는 일은 그다지 많지 않다고 수쿠리는 안타깝게 결론 부분을 써내려갔다. “최신 패치를 적용하고 인터넷에서 분리시켜서 보관하십시오. 이는 단지 카메라나 CCTV에만 해당하는 얘기가 아닙니다. 인터넷과 연결이 가능한 모든 기기를 이런 식으로 보관해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
