IoT 기기로 구성된 봇넷, 피싱 및 스팸 필요 없어... 공격 비용 낮춰
[보안뉴스 문가용] 지난 달 보안 전문기자이자 블로거인 브라이언 크렙스(Brian Krebs)가 운영하는 웹 사이트에 디도스 공격을 감행한 장본인이 당시 사용한 코드를 공개해 화제다. 이는 앞으로도 모방 범죄가 추가적으로 발생할 가능성을 높이므로 크렙스와 같은 보안 분석가들에게 재앙이 될 것으로 보인다.
▲ 와, 이 좋은 그물이 공짜라니!
이들이 사용했던 멀웨어는 미라이(Mirai)라고 불리며, 인터넷과 연결된 가전기기들을 검색해 공격하는 기능을 갖추고 있다. 특히 디폴트 암호와 사용자 이름으로만 보호되어 있는 기기들이 미라이의 가장 주된 공격 목표라고 한다. 이를 공개한 사람은 핵포럼(Hackforums)의 사용자인 안나센파이(Anna-senpai)라는 인물이며, 크렙스의 블로그가 디도스 공격을 당한 후 인터넷 서비스 업체들이 디도스 공격에 대항해 IoT 기기들의 취약점 검사를 강화하자 자신의 무기를 공유한 것으로 보인다.
미라이는 최근 세상에 공개된 멀웨어 패밀리 두 개 중 하나로, IoT 기기들로 구성된 봇넷 형성을 가장 궁극적인 목표점으로 삼고 있다. 다른 하나는 배시라이트(Bashlight)라고 하며, 이미 백만 대 이상의 IoT 기기들을 감염시켜 봇넷화한 것으로 알려져 있다. 이러한 사실 모두 크렙스온시큐리티(KrebsOnSecurity) 블로그를 통해서 보도된 바 있다.
미라이를 분석한 멀웨어테크(MalwareTech)는 “미라이는 비지박스(BusyBox)를 운영하는 IoT 시스템을 공격하는데, 비지박스란 여러 개의 작은 유닉스 유틸리티들을 합친 실행파일”이라고 설명했다. 그 결과 미라이가 형성한 봇넷은 대부분 가정용 라우터와 네트워크 연결이 가능항 카메라 및 디지털 영상촬영기, IoT 기기들로 이루어졌다고 한다.
이런 봇넷을 대동해 크렙스온시큐리티에 620 Gbps 크기의 디도스 공격이 일어난 것이며, 지난 주에는 프랑스의 인터넷 서비스 공급업체인 OVH에 1 Tbps가 넘는 디도스 공격이 일어난 것이다. 대역폭 크기만으로도 이 두 공격은 디도스 역사상 가장 큰 쪽에 속한다.
멀웨어테크에 의하면 미라이는 비지박스 시스템에 브루트포스 공격을 하며, 이때 60개가 넘는 ‘디폴트 암호’로 구성된 목록을 사용한다고 한다. 그렇게 해서 시스템에 접근 성공하면 미라이는 다른 멀웨어의 침투를 막기 위해 자신이 공격한 기기를 보호한다.
“미라이는 굉장히 간단하고 직관적인 멀웨어입니다. 활용과 관리과 쉽다는 의미죠.” 보안 전문업체인 플릭서 인터내셔널(Plixer Internation)의 IT 서비스 책임자인 토마스 포어(Thomas Pore)가 설명한다. “감염에 성공하면 자신의 흔적부터 지워 탐지되지 않고 오랫동안 시스템에 머무는 데에 주력합니다.”
또 하나 주목할 점이 있는데, “IoT 기기들로 봇넷을 만들기 때문에 스팸 서비스를 활용하거나 사용자에게 피싱 공격을 할 필요가 없다는 것”이다. 이는 PC를 봇으로 활용하는 것에 비해 IoT 봇넷이 가질 수 있는 장점이다. 그리고 공격 비용이 적게 든다는 건 해커로서 항상 반길 일이다.
게다가 공격자에게 있어 인터넷으로 IoT 기기의 취약점을 검색하는 건 거의 소비되는 게 없다시피 한 작업 과정이다. 여기에 미라이의 소스코드까지 공짜로 배포되고 있으니, 이제 너도나도 봇넷을 만들어보겠다고 나설 것은 불 보듯 뻔한 일. 하지만 포어는 “너도나도 IoT 기기 공략에 달려들면 경쟁이 심해져서 오히려 미라이를 활용한 봇넷의 크기나 디도스 공격의 볼륨이 줄어들 것”이라고 예상한다.
HPE의 데이터 보안 전문가인 라이너 카펜버거(Reiner Kappenberger)는 미라이 코드가 공개되었다는 것, 그리고 그로 인한 우려가 확산되고 있다는 것 자체가 IoT라는 영역에서의 형편 없는 보안 실천 관습의 실태를 보여준다고 해석한다. “사물인터넷 기기가 삶 곳곳으로 퍼짐에 따라 이런 위험은 앞으로도 계속해서 우리를 위협할 겁니다.”
이런 위험을 최소화하기 위해서는 소비자들이 기기를 구매하기 전에 어떤 보안 기능이 탑재되어 있는지 살펴야 한다고 카펜버거는 권장한다. “IoT 기기 하나가 감염되면, 라우터로 연결된 모든 물건들이 쉽게 감염될 수 있습니다. 그렇다면 소중한 나의 개인정보는 물론 우리 가족의 신상명세까지 전부 도난당할 수 있게 됩니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>