2016년 10월 등장한 IoT 기기 노리는 미라이 봇넷(Mirai Botnet)으로 IoT 보안 위험성 드러나
미라이봇넷 이후 국내외에서 IoT기기 노린 보안사고 급증... IoT 보안 연구 활성화돼야
[보안뉴스= 이경석 KAIST 사이버보안연구센터 연구원] 2016년 10월, 도메인 주소 조회 서비스(DNS, Domain Name Service) 제공업체인 Dyn이 무차별적인 디도스(DDoS) 공격에 주요 타깃이 됐고, 이로 인해 트위터, 넷플릭스, 뉴욕타임즈, CNN 등 1,200개 이상의 사이트가 일제히 마비되는 초유의 IoT(Internet of Things) 보안사고가 발생했습니다. 조사결과 해커가 미라이(Mirai) 봇넷이라는 악성코드를 만들어 셋탑박스, 공유기 등 보안이 허술한 다수의 IoT 기기들을 감염시켜 좀비로 만들고, 이를 바탕으로 대규모 디도스 공격을 감행한 것이 이번 보안사고의 원인으로 밝혀졌습니다.
[이미지=utoimage]
미라이 봇넷의 등장은 엄청난 경제적 손실을 입혔고, IoT 기기의 보안 위험성 문제를 수면 위로 떠올렸으며, 이전과 비교해 IoT 보안 연구에 대한 더 많은 관심을 불러일으키는 계기가 됐습니다. 이러한 초유의 IoT 보안사고의 주범인 미라이 봇넷의 동작 원리를 살펴보면 첫 번째, 취약한 IoT 기기 스캔 및 접속, 두 번째, 악성코드 전파 및 감염, 세 번째, 좀비화 및 봇넷 구성, 네 번째, 봇넷을 이용한 디도스 공격으로 크게 네 단계로 동작되는데, 이는 매우 정교하게 만들어진 악성코드임에 틀림이 없습니다.
하지만 공격의 시작단계에서 사용되는 취약점은 엄청난 경제적 손실이 무색할 만큼 매우 단순한 취약점을 이용하고 있습니다. 이 단순한 취약점은 바로 약 60여 개의 IoT 기기가 공장 출하 시에 설정된 기본 텔넷(Telnet)의 아이디와 비밀번호였으며, 기본 텔넷 계정을 이용해 무작위로 대입 및 접속하는 공격 방식을 통해 취약한 IoT 기기를 스캐닝 후 접속에 성공하면 미라이 악성코드를 주입하는 방법을 반복해 거대한 봇넷을 형성했습니다. 그리고 이를 바탕으로 대규모 디도스 공격이 이루어졌습니다.
IoT 보안에 대한 낮은 인식에서 비롯된 미라이 봇넷의 대규모 디도스 사건의 전말이 2016년의 현실이었다면, 현재의 IoT 기기의 보안 수준은 어떠할까요? 안타깝게도 글로벌 기업인 HP의 조사 결과에 따르면 여전히 상위 10개의 IoT 제품에 최소 25개 이상의 취약점이 존재하며, 취약점 개선을 위한 제조사의 펌웨어 업데이트와 같은 대응책이 부족하다고 보고되었습니다.
또한, 국내뿐만 아니라 국외에서도 IoT 관련 크고 작은 사이버 침해사고가 지속적으로 발생하고 있는데, 이러한 침해사고에 주요 타깃이 되는 IoT 기기의 취약점은 IoT 검색 엔진 쇼단을 통해 쉽게 검색할 수 있습니다. 실제 쇼단을 이용해 간단한 조작만으로도 가정에서 많이 사용하는 웹캠의 정보를 수집하고, 이 중 보안에 취약한 웹캠을 해킹해 전송화면을 원격으로 관찰할 수 있으며, 취약한 공유기의 송·수신되는 데이터를 가로채어 중요한 개인정보를 획득할 수 있는 등 여전히 2016년과 크게 다르지 않은 낮은 보안 수준 및 인식을 유지하고 있는 것으로 나타나 문제의 심각성을 더하고 있습니다. 이러한 문제는 최근 스마트 냉장고, 스마트TV, 스마트 스피커 등과 같이 IoT 기반의 다양한 전자기기가 가정에서 사용됨에 따라 IoT 기기의 보안 위험성에 대한 우려가 한층 더 커지고 있습니다.
이에 IoT 기기의 보안 위험성을 사전에 예방하고 안전성 확보를 위한 취약성 분석 방법으로 IoT 기기에 설치되어 있는 펌웨어를 대상으로 정적분석 및 동적분석을 수행하여 취약점을 탐지할 수 있습니다. 제조사 홈페이지 등에서 수집한 펌웨어 이미지를 이용하여 파일 시스템을 추출한 후, 파일 시스템 내에 존재하는 시그니처, 하드 코딩된 계정정보, 코드상의 취약점 등 정적분석을 수행할 수 있으며, 이 추출 및 분석 과정을 보다 편리하게 진행하기 위한 대표적인 도구로는 Binwalk, Firmware-Mod-Kit 등이 있습니다.
동적분석은 실질적인 펌웨어의 동작 과정에서 탐지 가능한 취약점을 분석할 수 있습니다. IoT 기기는 일반적인 PC와는 다르게 사용하는 하드웨어 특성에 따라 펌웨어의 구조가 다르기 때문에 펌웨어 이미지를 가상화해 구동시킨 후 분석을 수행합니다. 이를 위해 QEMU, Firmadyne과 같은 에뮬레이터를 활용하고, 에뮬레이팅 환경 기반으로 구동된 펌웨어와 실행된 서비스에 대해 Routersploit, Metasploit, Nmap 등과 같은 모의해킹 도구를 활용해 취약점을 분석할 수 있습니다.
▲이경석 KAIST CSRC 연구원[사진=KAIST]
최근 IoT 시장이 급속도로 확대됨에 따라 새로운 IoT 기기들이 쏟아져 나오고 있고, 이와 동시에 보안에 취약한 IoT 기기를 이용한 사이버 공격 시도가 지속적으로 증가하는 추세입니다. 특히, 코로나19 시대에 비대면 교육·의료, 원격 근무 등 비대면 라이프가 형성됨에 따라 IoT 기기의 활용도는 더욱 급격하게 증가할 것으로 예상됩니다. 이렇게 급변하는 상황 속에서 IoT 기기에 대한 다각적이고 체계적인 안전성 확보 노력이 절대적으로 필요한 시점임을 부정할 수 없습니다.
따라서 IoT 기기의 보안 위험성을 사전에 예방하고 사이버 위협에 효과적으로 대응할 수 있도록 다양한 IoT 보안 연구가 더욱 활성화되기를 희망하며, 미라이 봇넷 사태 등 다양한 IoT 보안 사고를 교훈으로 삼아야 합니다. 아울러 우리가 그동안 강조해 왔던 기본사항이지만 실천하지 못했던 불필요한 기본 계정 삭제, 보안 측면에서 권고하는 수준의 비밀번호 설정 등 올바른 IoT 기기 사용법을 습관화하고, 높은 보안 의식을 갖춤으로써 안전한 사이버 세상이 만들어지길 기대합니다.
[글_이경석 KAIST 사이버보안연구센터 연구원]
미라이봇넷 이후 국내외에서 IoT기기 노린 보안사고 급증... IoT 보안 연구 활성화돼야
[보안뉴스= 이경석 KAIST 사이버보안연구센터 연구원] 2016년 10월, 도메인 주소 조회 서비스(DNS, Domain Name Service) 제공업체인 Dyn이 무차별적인 디도스(DDoS) 공격에 주요 타깃이 됐고, 이로 인해 트위터, 넷플릭스, 뉴욕타임즈, CNN 등 1,200개 이상의 사이트가 일제히 마비되는 초유의 IoT(Internet of Things) 보안사고가 발생했습니다. 조사결과 해커가 미라이(Mirai) 봇넷이라는 악성코드를 만들어 셋탑박스, 공유기 등 보안이 허술한 다수의 IoT 기기들을 감염시켜 좀비로 만들고, 이를 바탕으로 대규모 디도스 공격을 감행한 것이 이번 보안사고의 원인으로 밝혀졌습니다.
[이미지=utoimage]
미라이 봇넷의 등장은 엄청난 경제적 손실을 입혔고, IoT 기기의 보안 위험성 문제를 수면 위로 떠올렸으며, 이전과 비교해 IoT 보안 연구에 대한 더 많은 관심을 불러일으키는 계기가 됐습니다. 이러한 초유의 IoT 보안사고의 주범인 미라이 봇넷의 동작 원리를 살펴보면 첫 번째, 취약한 IoT 기기 스캔 및 접속, 두 번째, 악성코드 전파 및 감염, 세 번째, 좀비화 및 봇넷 구성, 네 번째, 봇넷을 이용한 디도스 공격으로 크게 네 단계로 동작되는데, 이는 매우 정교하게 만들어진 악성코드임에 틀림이 없습니다.
하지만 공격의 시작단계에서 사용되는 취약점은 엄청난 경제적 손실이 무색할 만큼 매우 단순한 취약점을 이용하고 있습니다. 이 단순한 취약점은 바로 약 60여 개의 IoT 기기가 공장 출하 시에 설정된 기본 텔넷(Telnet)의 아이디와 비밀번호였으며, 기본 텔넷 계정을 이용해 무작위로 대입 및 접속하는 공격 방식을 통해 취약한 IoT 기기를 스캐닝 후 접속에 성공하면 미라이 악성코드를 주입하는 방법을 반복해 거대한 봇넷을 형성했습니다. 그리고 이를 바탕으로 대규모 디도스 공격이 이루어졌습니다.
IoT 보안에 대한 낮은 인식에서 비롯된 미라이 봇넷의 대규모 디도스 사건의 전말이 2016년의 현실이었다면, 현재의 IoT 기기의 보안 수준은 어떠할까요? 안타깝게도 글로벌 기업인 HP의 조사 결과에 따르면 여전히 상위 10개의 IoT 제품에 최소 25개 이상의 취약점이 존재하며, 취약점 개선을 위한 제조사의 펌웨어 업데이트와 같은 대응책이 부족하다고 보고되었습니다.
또한, 국내뿐만 아니라 국외에서도 IoT 관련 크고 작은 사이버 침해사고가 지속적으로 발생하고 있는데, 이러한 침해사고에 주요 타깃이 되는 IoT 기기의 취약점은 IoT 검색 엔진 쇼단을 통해 쉽게 검색할 수 있습니다. 실제 쇼단을 이용해 간단한 조작만으로도 가정에서 많이 사용하는 웹캠의 정보를 수집하고, 이 중 보안에 취약한 웹캠을 해킹해 전송화면을 원격으로 관찰할 수 있으며, 취약한 공유기의 송·수신되는 데이터를 가로채어 중요한 개인정보를 획득할 수 있는 등 여전히 2016년과 크게 다르지 않은 낮은 보안 수준 및 인식을 유지하고 있는 것으로 나타나 문제의 심각성을 더하고 있습니다. 이러한 문제는 최근 스마트 냉장고, 스마트TV, 스마트 스피커 등과 같이 IoT 기반의 다양한 전자기기가 가정에서 사용됨에 따라 IoT 기기의 보안 위험성에 대한 우려가 한층 더 커지고 있습니다.
이에 IoT 기기의 보안 위험성을 사전에 예방하고 안전성 확보를 위한 취약성 분석 방법으로 IoT 기기에 설치되어 있는 펌웨어를 대상으로 정적분석 및 동적분석을 수행하여 취약점을 탐지할 수 있습니다. 제조사 홈페이지 등에서 수집한 펌웨어 이미지를 이용하여 파일 시스템을 추출한 후, 파일 시스템 내에 존재하는 시그니처, 하드 코딩된 계정정보, 코드상의 취약점 등 정적분석을 수행할 수 있으며, 이 추출 및 분석 과정을 보다 편리하게 진행하기 위한 대표적인 도구로는 Binwalk, Firmware-Mod-Kit 등이 있습니다.
동적분석은 실질적인 펌웨어의 동작 과정에서 탐지 가능한 취약점을 분석할 수 있습니다. IoT 기기는 일반적인 PC와는 다르게 사용하는 하드웨어 특성에 따라 펌웨어의 구조가 다르기 때문에 펌웨어 이미지를 가상화해 구동시킨 후 분석을 수행합니다. 이를 위해 QEMU, Firmadyne과 같은 에뮬레이터를 활용하고, 에뮬레이팅 환경 기반으로 구동된 펌웨어와 실행된 서비스에 대해 Routersploit, Metasploit, Nmap 등과 같은 모의해킹 도구를 활용해 취약점을 분석할 수 있습니다.
▲이경석 KAIST CSRC 연구원[사진=KAIST]
최근 IoT 시장이 급속도로 확대됨에 따라 새로운 IoT 기기들이 쏟아져 나오고 있고, 이와 동시에 보안에 취약한 IoT 기기를 이용한 사이버 공격 시도가 지속적으로 증가하는 추세입니다. 특히, 코로나19 시대에 비대면 교육·의료, 원격 근무 등 비대면 라이프가 형성됨에 따라 IoT 기기의 활용도는 더욱 급격하게 증가할 것으로 예상됩니다. 이렇게 급변하는 상황 속에서 IoT 기기에 대한 다각적이고 체계적인 안전성 확보 노력이 절대적으로 필요한 시점임을 부정할 수 없습니다.
따라서 IoT 기기의 보안 위험성을 사전에 예방하고 사이버 위협에 효과적으로 대응할 수 있도록 다양한 IoT 보안 연구가 더욱 활성화되기를 희망하며, 미라이 봇넷 사태 등 다양한 IoT 보안 사고를 교훈으로 삼아야 합니다. 아울러 우리가 그동안 강조해 왔던 기본사항이지만 실천하지 못했던 불필요한 기본 계정 삭제, 보안 측면에서 권고하는 수준의 비밀번호 설정 등 올바른 IoT 기기 사용법을 습관화하고, 높은 보안 의식을 갖춤으로써 안전한 사이버 세상이 만들어지길 기대합니다.
[글_이경석 KAIST 사이버보안연구센터 연구원]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
