공유기와 IP 카메라에 집중됐던 공격, 스마트TV로 옮겨

[보안뉴스 김형근 기자] 과거 공유기와 IP 카메라에 집중됐던 공격 대상이 이제는 항상 전원이 켜져 있고 성능이 우수한 스마트 TV로 전이되고 있다. 스마트 TV가 새로운 ‘좀비 기기’ 저장소가 되고 있다.


[자료: 치안신엑스랩]

최근 ‘킴울프’(Kimwolf)로 명명된 신종 디도스(DDoS) 봇넷이 세계 약 180만 대의 안드로이드 기반 스마트 TV와 셋톱박스를 감염시켰다. 사물인터넷(IoT) 장비의 취약성이 전 지구적 규모의 사이버 무기로 돌변했다.

보안 기업 치안신엑스랩(QiAnXin XLab) 최신 보고서에 따르면, 이 봇넷은 안드로이드 NDK를 기반으로 제작된 고도로 정교한 악성코드이다. 킴울프는 단순한 공격 도구를 넘어 프록시 포워딩, 리버스 셸, 파일 관리 기능까지 탑재한 다목적 공격 체계를 구축하고 있다.

킴울프 봇넷은 11월, 단 3일 동안 무려 17억 건에 달하는 DDoS 공격 명령을 수행하며 전례 없는 파괴력을 과시한 바 있다. 특히 공격 인프라인 명령·제어(C2) 도메인 중 하나는 한때 클라우드플레어 기준으로 세계 방문자 수 1위를 기록하며 잠시나마 구글을 상회할 정도의 막대한 파괴력을 과시했다.

주요 공격 대상은 가정용 네트워크에 연결된 TV박스, 슈퍼박스, X96Q 모델 등 보안이 취약한 저가형 안드로이드 셋톱박스 기기들이었다. 브라질, 인도, 미국 등 세계적으로 광범위하게 감염이 확산 중이다.

이 조직은 수사 기관의 추적을 회피하기 위해 블록체인 기술인 ENS를 활용하는 ‘에더하이딩’(EtherHiding) 기법을 도입, 은밀성을 극대화했다. 이 기법은 스마트 계약 내부에 실제 서버 주소를 은닉하는 방식이라 일반적 차단 시스템으로는 공격 인프라를 무력화하기가 어렵다.

또 킴울프는 과거 초대형 DDoS 공격들을 주도한 ┖아이수루’(AISURU) 봇넷과 같은 해커 그룹에 의해 운영되는 것으로 분석됐다. 두 봇넷은 동일한 코드 서명 인증서를 사용하는 등 코드 및 인프라를 공유하고 있어 사실상 동일 공격 집단의 변종 악성코드로 보인다.

이 악성코드는 실행될 때 오직 하나의 인스턴스만 작동하도록 정교하게 설계됐다. TLS 암호화 통신을 통해 외부 명령을 안전하게 수신한다. 감염 기기의 96% 이상은 프록시 서비스 제공에 동원되고 있으며, 해커는 감염된 기기의 대역폭을 판매해 막대한 수익을 얻고 있다. 공격자들은 수익 극대화를 목적으로 러스트(Rust) 기반 전용 클라이언트와 광고 수익화 SDK까지 기기에 심는 치밀함을 보였다.

킴울프 봇넷 운영 세력은 세계적으로 확보한 거대 좀비 네트워크를 활용해 미국과 중국 등 주요국 핵심 네트워크 인프라를 집중적으로 타격하고 있다. 특히 이들은 대상 시스템의 방어 체계를 무력화하기 위해 총 13종에 달하는 정교한 DDoS 공격 메커니즘을 전략적으로 선택해 구사하는 것으로 분석된다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>