.gif)
국토안보부는 두 부의 성명서 발간...생산자들에게 초점 맞춰져 있어
사물인터넷 기기 연결 후 10분 만에 13차례 공격 들어와
[보안뉴스 문가용 기자] 미국의 국토안보부가 드디어 사물인터넷에 대한 혹은 사물인터넷을 통한 사이버 공격의 심각성을 인지하기 시작했다. ‘사물인터넷 보안을 위한 전략적 원리(Strategic Principles for Securing the Internet of Things)’라는 성명서를 발간한 것이다. 두 개의 PDF 문서를 통해 국토안보부는 현재의 사물인터넷 보안 상태를 분석하고, 사물인터넷 기기를 설계하는 단계에서부터 보안 방비책들을 마련해야 한다고 촉구했다.
.jpg)
미국 국토안보부에서 발간한 성명서라는 것 자체에는 꽤나 무게감이 실리는 느낌이나, 실제 생산업체들에게 얼마나 강력한 효과를 발휘할지는 지켜봐야 한다. 해당 성명서를 접한 전문가들은 ‘그렇다면 어느 선까지 조치를 취해야 충분하다고 할 수 있는가?’라는 질문이 여전히 존재한다며 사물인터넷 보안의 가장 근본적인 문제가 해결되지 않았다고 말한다.
그럼에도 국토안보부의 이번 성명서가 무의미한 건 아니다. 최근 미국에서 두 차례 연속으로 일어난 디도스 사건(크렙스 블로그와 딘(Dyn) 사건) 때문에 사물인터넷 기기들을 대동한 디도스 공격이 얼마나 위험한지가 만천하에 드러났기 때문에 정부 기관으로서 가만히 있을 수도 없었기 때문이다.
사물인터넷 기기, 얼마나 위험할까?
그렇다면 사물인터넷 기기는 얼마나 위험한 것일까? 인터넷에 연결된 순간 어느 정도 기간이 지나야 감염될까? 사용자가 뭔가 조치를 취하고 대비를 할 수 있을 만큼 충분한 시간이 주어지는가? 보안 전문가인 트로이 디어링(Troy Dearing)은 이 궁금증을 해결하기 위해 실험을 진행했다. 그리고 그 실험에 대해 다음과 같이 서술한다.
“일부러 보안이 허술한 기기를 사서 인터넷에 연결시킨 후 무슨 일이 일어나나 지켜보거나 가상 기기를 만들어 공격자가 보기에 완전히 사물인터넷 기기와 똑같게 하거나, 둘 중 한 가지 방법을 사용하기로 했습니다. 하지만 어차피 덫을 만들어 놓고 해커를 유인한다는 점에서는 똑같은 방법이나 다름없었죠. 하니팟이라고도 알려진 방법이고요. 그래서 가상의 기기를 만들기로 결정했습니다.”
트로이 디어링은 최근 디도스 공격을 일으킨 미라이(Mirai) 멀웨어가 어떤 기기들을 주로 공격했는지 파악하고 그대로 흉내냈다고 한다. “미라이에 당한 기기들 대부분 비지박스(BusyBox)라는 툴을 사용하고 있더군요. 비지박스는 임베디드 리눅스 세계에 있어서 맥가이버칼과 비슷한 위치를 갖는 솔루션입니다. 사물인터넷 기기를 만들 때 만능으로 사용되는 것이죠.” 그래서 이 비지박스 환경을 가상으로 갖추기로 했다. 포트는 23번과 80번을 열어두었다.
그랬더니 공격이 대단히 빠르게 들어왔다고 트로이는 전한다. “10분도 되지 않았는데 이 가상 기기에 브루트포스 공격이 13번이나 들어왔습니다. 1시간 정도 온라인에 노출시켰을 때 총 551번의 공격이 있었고요. 최소 10명의 해커가 독립적으로 다양한 공격들을 시도했더군요. 그리고 1주일을 더 모니터링했습니다. 그 1주일 동안 브루트포스 공격만 총 2665번 있었고, 접근 시도가 포함된 세션이 총 108번 발생했습니다. 그중 일부는 멀웨어를 강제로 주입시키려는 것도 있었고요.”
미라이의 진화
그렇다면 이 많은 공격들 중 요즘 유행하는 미라이가 차지하는 비율은 어느 정도나 되었을까?
트로이는 이 부분에 있어 깜짝 놀랐다고 한다. “미라이 코드가 꽤나 나올 거라고 생각했습니다만, 그렇지 않았습니다. 미라이를 바탕으로 하거나 일부를 본 따온 변종들이 대부분이었죠. 요즘 해커들은 공개된 소스코드를 그대로 사용하지 않습니다. 자기들 목적에 맞게 고쳐서 쓰죠. 미라이도 그중 하나일 뿐입니다. 다만, 불과 얼마 전에 뉴스로 접했던 미라이의 변종이 이렇게나 빨리 제가 만든 하니팟에 침투할 줄은 몰랐습니다.”
결국 위협을 탐지하고 이상 현상을 발견해내는 데에 있어 한 가시 시그니처에만 의존해서는 안 된다는 기본적인 내용이 다시 한 번 확인된 것이나 다름없다. 특히 한 번 대대적으로 알려진 멀웨어나 공격 수법이라면, 그것이 그대로 발견될 가능성은 낮다. 트로이 역시 “만약 내가 미라이 시그니처만 찾으려고 했다면 이번 실험에서 다른 악성코드를 발견할 수 없었을 것”이라고 강조했다.
그렇다면 사용자가 할 수 있는 일은?
일주일에 천 단위로 진행되는 사이버 공격에 대해 일반 사용자가 할 수 있는 일은 무엇일까? 트로이는 “다행히 속수무책으로 당해야 하는 건 아니다”라고 설명한다. “기본적인 것부터 말하자면, 제일 먼저 디폴트 암호를 바꿔야 합니다. 미라이 역시 이 디폴트 암호들을 공격하는 것으로 유명하죠. admin/root, admin/password, ad/1234 등의 조합은 절대 피하는 게 좋습니다.”
또한 원격 관리 기능이 있다면 전부 해제하라고 권한다. 사물인터넷 기기들 대부분 편리성을 위해 원격에서 접속이 가능하도록 되어 있는데, 이는 집 네트워크 전체에 공격자가 접속하도록 돕는 역할만 해줄 뿐이다. “펌웨어 업데이트도 매우 중요한 요소입니다. 최근 생산자들이 보안에 민감해지기 시작하면서 제일 먼저 시작한 게 바로 업데이트입니다. 이게 점점 더 발전하면 언젠가 설계단계부터 보안이 강화되기도 하겠지만 아직까지는 업데이트가 제작자의 보안 해결책입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
사물인터넷 기기 연결 후 10분 만에 13차례 공격 들어와
[보안뉴스 문가용 기자] 미국의 국토안보부가 드디어 사물인터넷에 대한 혹은 사물인터넷을 통한 사이버 공격의 심각성을 인지하기 시작했다. ‘사물인터넷 보안을 위한 전략적 원리(Strategic Principles for Securing the Internet of Things)’라는 성명서를 발간한 것이다. 두 개의 PDF 문서를 통해 국토안보부는 현재의 사물인터넷 보안 상태를 분석하고, 사물인터넷 기기를 설계하는 단계에서부터 보안 방비책들을 마련해야 한다고 촉구했다.
미국 국토안보부에서 발간한 성명서라는 것 자체에는 꽤나 무게감이 실리는 느낌이나, 실제 생산업체들에게 얼마나 강력한 효과를 발휘할지는 지켜봐야 한다. 해당 성명서를 접한 전문가들은 ‘그렇다면 어느 선까지 조치를 취해야 충분하다고 할 수 있는가?’라는 질문이 여전히 존재한다며 사물인터넷 보안의 가장 근본적인 문제가 해결되지 않았다고 말한다.
그럼에도 국토안보부의 이번 성명서가 무의미한 건 아니다. 최근 미국에서 두 차례 연속으로 일어난 디도스 사건(크렙스 블로그와 딘(Dyn) 사건) 때문에 사물인터넷 기기들을 대동한 디도스 공격이 얼마나 위험한지가 만천하에 드러났기 때문에 정부 기관으로서 가만히 있을 수도 없었기 때문이다.
사물인터넷 기기, 얼마나 위험할까?
그렇다면 사물인터넷 기기는 얼마나 위험한 것일까? 인터넷에 연결된 순간 어느 정도 기간이 지나야 감염될까? 사용자가 뭔가 조치를 취하고 대비를 할 수 있을 만큼 충분한 시간이 주어지는가? 보안 전문가인 트로이 디어링(Troy Dearing)은 이 궁금증을 해결하기 위해 실험을 진행했다. 그리고 그 실험에 대해 다음과 같이 서술한다.
“일부러 보안이 허술한 기기를 사서 인터넷에 연결시킨 후 무슨 일이 일어나나 지켜보거나 가상 기기를 만들어 공격자가 보기에 완전히 사물인터넷 기기와 똑같게 하거나, 둘 중 한 가지 방법을 사용하기로 했습니다. 하지만 어차피 덫을 만들어 놓고 해커를 유인한다는 점에서는 똑같은 방법이나 다름없었죠. 하니팟이라고도 알려진 방법이고요. 그래서 가상의 기기를 만들기로 결정했습니다.”
트로이 디어링은 최근 디도스 공격을 일으킨 미라이(Mirai) 멀웨어가 어떤 기기들을 주로 공격했는지 파악하고 그대로 흉내냈다고 한다. “미라이에 당한 기기들 대부분 비지박스(BusyBox)라는 툴을 사용하고 있더군요. 비지박스는 임베디드 리눅스 세계에 있어서 맥가이버칼과 비슷한 위치를 갖는 솔루션입니다. 사물인터넷 기기를 만들 때 만능으로 사용되는 것이죠.” 그래서 이 비지박스 환경을 가상으로 갖추기로 했다. 포트는 23번과 80번을 열어두었다.
그랬더니 공격이 대단히 빠르게 들어왔다고 트로이는 전한다. “10분도 되지 않았는데 이 가상 기기에 브루트포스 공격이 13번이나 들어왔습니다. 1시간 정도 온라인에 노출시켰을 때 총 551번의 공격이 있었고요. 최소 10명의 해커가 독립적으로 다양한 공격들을 시도했더군요. 그리고 1주일을 더 모니터링했습니다. 그 1주일 동안 브루트포스 공격만 총 2665번 있었고, 접근 시도가 포함된 세션이 총 108번 발생했습니다. 그중 일부는 멀웨어를 강제로 주입시키려는 것도 있었고요.”
미라이의 진화
그렇다면 이 많은 공격들 중 요즘 유행하는 미라이가 차지하는 비율은 어느 정도나 되었을까?
트로이는 이 부분에 있어 깜짝 놀랐다고 한다. “미라이 코드가 꽤나 나올 거라고 생각했습니다만, 그렇지 않았습니다. 미라이를 바탕으로 하거나 일부를 본 따온 변종들이 대부분이었죠. 요즘 해커들은 공개된 소스코드를 그대로 사용하지 않습니다. 자기들 목적에 맞게 고쳐서 쓰죠. 미라이도 그중 하나일 뿐입니다. 다만, 불과 얼마 전에 뉴스로 접했던 미라이의 변종이 이렇게나 빨리 제가 만든 하니팟에 침투할 줄은 몰랐습니다.”
결국 위협을 탐지하고 이상 현상을 발견해내는 데에 있어 한 가시 시그니처에만 의존해서는 안 된다는 기본적인 내용이 다시 한 번 확인된 것이나 다름없다. 특히 한 번 대대적으로 알려진 멀웨어나 공격 수법이라면, 그것이 그대로 발견될 가능성은 낮다. 트로이 역시 “만약 내가 미라이 시그니처만 찾으려고 했다면 이번 실험에서 다른 악성코드를 발견할 수 없었을 것”이라고 강조했다.
그렇다면 사용자가 할 수 있는 일은?
일주일에 천 단위로 진행되는 사이버 공격에 대해 일반 사용자가 할 수 있는 일은 무엇일까? 트로이는 “다행히 속수무책으로 당해야 하는 건 아니다”라고 설명한다. “기본적인 것부터 말하자면, 제일 먼저 디폴트 암호를 바꿔야 합니다. 미라이 역시 이 디폴트 암호들을 공격하는 것으로 유명하죠. admin/root, admin/password, ad/1234 등의 조합은 절대 피하는 게 좋습니다.”
또한 원격 관리 기능이 있다면 전부 해제하라고 권한다. 사물인터넷 기기들 대부분 편리성을 위해 원격에서 접속이 가능하도록 되어 있는데, 이는 집 네트워크 전체에 공격자가 접속하도록 돕는 역할만 해줄 뿐이다. “펌웨어 업데이트도 매우 중요한 요소입니다. 최근 생산자들이 보안에 민감해지기 시작하면서 제일 먼저 시작한 게 바로 업데이트입니다. 이게 점점 더 발전하면 언젠가 설계단계부터 보안이 강화되기도 하겠지만 아직까지는 업데이트가 제작자의 보안 해결책입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
