시스코 라우터 펌웨어 비상, 탐지법도 없어

2015-09-16 15:48
  • 카카오톡
  • 네이버 블로그
  • url
+ -

신풀노크라는 멀웨어, 디폴트 로그인 정보 통해 라우터 오염시켜
사전에 방지하는 방법 존재하지 않아, 라우터 리이미징만이 해결책

[보안뉴스 문가용] 어제나 오늘이나 변함없는 건 기업의 네트워크에 어떻게든 들어가려고 이리 기웃 저리 기웃하는 해커들의 행동들이다. 그리고 최근 들어 해커들은 현대 기업들이라면 대부분 사용하고 있는 라우터를 표적으로 삼기 시작했다.

라우터에 백도어를 설치하는 건 여태까지 이론상으로만 가능한 이야기였다. 하지만 파이어아이(FireEye)는 최근 발표한 보고서를 통해 이것이 곧 현실이 될 공산이 크다고 밝혔다. 세계 곳곳에서 해커들이 시스코의 라우터에 펌웨어를 조작한 사실이 적어도 14건 드러난 것이다. 해커들이 펌웨어 대신 설치한 건 신풀노크(SYNful Knock)라는 멀웨어다.

이 신풀노크의 기능은 라우터의 IOS 이미지를 몰래 조작해 공격자들이 라우터를 리부트한다고 하더라도 계속해서 상주할 수 있도록 하는 것이다. 신풀노크는 모듈화 되어 있어 분리와 조합이 자유롭고 따라서 맞춤형으로 설계를 하는 것도 가능하다. 무엇보다 펌웨어에 설치된 후 원격 업그레이드도 가능하다. 공격자는 신풀노크를 통해 무제한으로 시스템에 출입할 수 있게 된다.

피해자 입장에서 이 신풀노크는 탐지가 무척이나 어렵다. 그렇기 때문에 라우터를 통해 네트워크에 들어가 다른 시스템과 데이터에도 접근할 수 있다. 파이어아이에 의하면 시스코 라우터에 있는 제로데이 취약점이 발견되거나 활용되어 신풀노크가 설치된 증거가 존재하지 않는다. 즉 기존 개념의 펌웨어 패치를 통해 해결될 여지도 없다는 것.

다만 파이어아이가 발견한 14개의 라우터에는 사용자가 디폴트 로그인 아이디/암호를 사용했다는 공통점이 있었다. 즉, 해커 입장에서는 브루트포스 방식의 공격만으로도 침투가 가능했다는 것이다.

신풀노크가 침투한 라우터는 시스코 1841, 시스코 2811, 시스코 3825 등으로 현재는 단종된 것들이다. 하지만 시스코의 라우터 펌웨어를 구성하는 코드가 다 비슷하기 때문에 다른 버전 혹은 다른 기종이 안전하다고 말하기도 힘든 상태라고 파이어아이는 강조했다.

또한 이런 식의 공격이 가능한 게 시스코 제품에만 국한된다고 보기도 힘들다. “신풀노크를 이번에 발견하긴 했지만, 빙산의 일각에 불과할 가능성이 큽니다. 아무도 모르는 일들이 사각지대에서 얼마나 일어나고 있을지는 미지수죠. 확실한 건 현재 해커들은 지속적인 공격 즉 APT 기법을 선호하고 있고, 라우터를 공략하는 것도 그런 성향의 맥락에서 파악해야 한다는 겁니다.”

여태까지 라우터 펌웨어에 멀웨어를 심는 것, 혹은 펌웨어를 아예 악성 프로그램으로 몰래 대체하는 건 이론상으로만 가능했다. 즉 실제 실현 가능성이 무척 낮은 방법으로 간주되었던 것이다. 하지만 해커들이 관리자 수준의 접근 혹은 아예 물리적인 접근을 감행하면서 이는 이론에서 실제가 되어버렸다.

시스코 측은 “이번에 발견된 공격을 검토해보니 해커들이 전부 합법적인 관리자 아이디/암호를 입력해서 침투했고 합법적인 업그레이드 과정을 거쳐 펌웨어를 조작했기 때문에 사전에 막을 방법이 없다”며 “그런 일련의 과정 중 취약점을 익스플로잇 한 것도 아니라 탐지가 더더욱 불가능하다”고 발표했다.

그렇다면 어떻게 이를 대처해야 할까? 라우터를 깨끗한 IOS 이미지로 리이미징하는 게 가장 좋은 방법이라고 파이어아이는 권고한다. 시스코 역시 마찬가지 입장이다. “사전에 탐지한다는 건 지금으로선 불가능합니다. 그냥 감염이 되었다고 생각하고 리이미징을 하는 편이 제일 안전합니다.”

그렇게 라우터를 청소했다면 네트워크의 다른 부분들을 검사해야 한다고 파이어아이는 강조한다. “실제로 공격이 들어왔다면 라우터를 통해 다른 곳을 공격한 흔적이 있을 겁니다. 라우터의 아이디/비밀번호가 디폴트 설정이 아니었다면, 어떻게 공격이 시작되었는지 발견할 가능성도 높아집니다. 즉 추후 비슷한 공격이 반복되는 걸 막는 차원에서 대처가 이루어져야 할 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기