스파이 행위부터 파괴 행위까지 가능한 ‘사이버 공격 땅굴’
우크라이나에 대한 대규모 공격 예상돼...축구 결승과 제헌절 위험
[보안뉴스 문가용 기자] 사이버 공격 인프라가 새롭게 발굴됐다. 약 50만 대의 가정용 혹은 사무용 라우터 및 네트워크 장비들로 구성된 것으로, 이 인프라를 타고 뭔가 크고 파괴적인 공격이 시작될 것만 같아, 보안 업체, 인터넷 공급 업체, 정부 기관, 사법 기관들이 감염된 장비들을 찾아내고 패치하는 데에 주력하고 있다. 하지만 보안에 취약한 사물인터넷 장비들이 어떤 식으로 유통되고 관리되는지 생각할 때, 이 작업은 쉽지 않아 보인다.
[이미지 = iclickart]
이 대형 봇넷의 중심에는 VPN필터(VPNFilter)라는 멀웨어가 존재한다. 이 멀웨어는 3단계에 걸쳐 장비를 감염시킨다. 첫 번째 단계는 멀쩡한 장비에 발을 들여놓는 것으로, 다른 사물인터넷 멀웨어들과 달리 시스템을 껐다 켜도 사라지지 않는다. 두 번째 단계에서는 ‘정찰’ 작업이 진행된다. 장비 내 파일들과 데이터를 수집하며, 혹여 분석될 가능성을 차단하고자 자가 파괴 기능도 탑재된다. 그 다음 마지막 단계에서는 다량의 모듈들이 투입된다. 웹사이트 크리덴셜과 모드버스 스카다(Modbus SCADA) 프로토콜을 수집하는 모듈과 토르 익명화 기능을 가진 모듈이 여기에 포함되어 있다.
그러므로 VPN필터는 스파이 행위에도 사용될 수 있고 파괴를 목적으로 한 공격에도 활용 가능하다. 이를 발견한 시스코의 탈로스 팀은 “다른 나라의 사회 기반 시설을 겨냥해 정찰 및 파괴 작전을 펼칠 수 있게 해주는 고급 멀웨어 및 공격 인프라”라고 설명한다. 또한 VPN필터의 첫 목표는 우크라이나로 보이는데, 그 이유는 50만대의 감염된 장비들 중 대다수가 우크라이나에 있기 때문이다. 게다가 공격자들이 최근 우크라이나에 서브네트워크와 C&C 서버를 설치하기도 했다.
VPN필터에는 이전에 우크라이나 정전 사태 때 발견된 블랙에너지(Black Energy) 멀웨어와 정확히 일치하는 복사본도 포함되어 있다고 한다. 탈로스 팀의 수석 위협 분석가인 크레이그 윌리엄즈(Craig Williams)는 블랙에너지에 대해 “2015년 우크라이나 서부 지역을 깜깜하게 만든 장본인이며, 게임체인저”라고 설명한다. 블랙에너지는 러시아가 만든 것으로 여겨지고 있다. 현재 VPN필터가 만든 봇넷에는 링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(NETGEAR), TP-Link 가정용 라우터와 큐냅(QNAP)의 NAS 장비들이 가득하다.
그러나 시스코는 VPN필터 뒤에 러시아가 있다고 선언하지 않았다. 관련성이 있을 뿐이라고 언급하기만 했다. “블랙에너지와 우크라이나라는 요소들이 겹쳐 있긴 합니다. 코드도 엇비슷한 정도가 아니라 완전히 똑같아 유사성 논란도 있을 여지가 없습니다. 러시아가 떠오르긴 하지만 누군가 러시아로 보이기 위해 이런 장치들을 했을 가능성도 있습니다. 누가 됐든 현재까지 발견된 정보에 의하면, 우크라이나의 제헌절(6월 28일)에 맞춘 대규모 파괴형 공격이 계획 중에 있는 것이 확실합니다. 목표는 당연히 우크라이나고요.”
우크라이나의 국가 보안 센터인 SBU는 VPN필터가 러시아의 행위라고 주장하고 있다. 그러면서 수도인 키예프에서 이번 토요일에 열리는 UEFA 챔피언스 리그 시합에 맞춘 사이버 공격에 대한 가능성을 언급하고, 그에 대한 대비를 촉구했다. “우크라이나 영토 내 수많은 장비들을 겨냥한 대규모 감염 행위는 러시아 정부의 짓이 명백하며, 우크라이나에서 열리는 스포츠 행사를 노리고 사이버 공격을 감행할 계획을 가지고 있는 것이 분명합니다.”
시스코의 윌리엄즈는 “VPN필터는 여러 다양한 공격을 위해 공격자들이 미리 뚫어놓은 VPN 땅굴 같다”고 설명한다. “VPN필터를 사용해서 공격하면 공격자들을 영원히 지목할 수가 없게 됩니다. 결국 공격을 직접 감행하게 되는 건 수많은 IoT 장비들이거든요. 그 뒤에 가려져 공격자들은 완벽한 익명성을 갖게 됩니다. 또한 모듈 구조로 되어 있다는 것도 배후자를 찾는 것을 굉장히 어렵게 만듭니다. 공격은 공격대로 다양해지고요. 이렇게까지 할 수 있는 건 국가의 지원을 받는 해커들입니다.”
게다가 우크라이나의 장비들이 가장 많이 감염되었다고는 하지만 그 외에도 미국 등을 포함한 54개 국가들에도 피해가 발생하고 있는 상황이다. “자가 파괴 기능이 있는데, 이걸 장비 펌웨어에도 사용할 수 있습니다. 사용자가 장비를 더 이상 이용할 수 없게 되는 것은 물론, 회사 전체가 오프라인이 될 수도 있습니다.”
시스코가 이러한 징조를 제일 먼저 눈치 챈 건 5월 초의 일이다. 23번, 80번, 2000번, 8080번 포트에 대한 스캐닝 행위가 제일 먼저 발견됐고, 당시에는 마이크로틱 제품들과 큐냅의 NAS 시스템들이 주로 당하고 있었다. 피해는 100여개 국가로 퍼져나가는 중이었다. 그러다가 5월 8일 VPN필터 감염이 급속도로 진행되었는데, 이 때는 대부분 우크라이나에서였다. 5월 17일에도 비슷한 일이 일어났다. 이에 이 일을 공개하고 진압에 나섰다.
현재 시스코는 영향을 받은 제조업체들 및 사이버 위협 동맹(Cyber Threat Alliance)의 회원사들과 함께 고객들에게 이러한 사실을 알리고 위험체 처한 장비들을 찾아내는 활동에 주력하고 있다고 한다. 그러면서 이번 공격과 관련 있는 도메인들을 블랙리스트 처리하는 것도 잊지 않았다. “VPN필터를 타고 어떤 공격이 도착할지 모릅니다. 두 번째 낫페트야일 수도 있고, 대규모 디도스일 수도 있고요.”
어떤 조치를 취해야 하나?
위에 언급된 제조사의 장비를 가지고 있다면 사용자들은 즉시 장비를 껐다 켜라고 시스코 팀은 권장한다. “그럴 경우 2단계와 3단계 공격을 차단할 수 있습니다. 다만 1단계 침투는 여전히 남아있게 되는데요, 따라서 최대한 자주 장비를 껐다 켜줘야 합니다. 임시방편일 뿐이죠. 장비 제조사에 연락을 취하거나 홈페이지에 접속해 최신 업데이트를 설치하고 크리덴셜을 바꿔주는 것이 보다 더 근본적인 해결책이 됩니다.”
이는 넷기어 측에서도 고객들에게 권장하고 있는 내용이다. 넷기어는 이미 펌웨어 업데이트를 배포하고 있다.
한편 시스코는 인터넷 통신 업자들도 보다 능동적으로 이 문제에 접근해야 한다고 촉구하고 있다. “라우터 장비와 같은 경우, 리부트가 쉽지 않은 경우가 있습니다. 인터넷 통신 업체가 고객들에게 도움을 제공해야 할 경우도 있고요. 이런 문제를 먼저 파악해 고객들을 지원해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
우크라이나에 대한 대규모 공격 예상돼...축구 결승과 제헌절 위험
[보안뉴스 문가용 기자] 사이버 공격 인프라가 새롭게 발굴됐다. 약 50만 대의 가정용 혹은 사무용 라우터 및 네트워크 장비들로 구성된 것으로, 이 인프라를 타고 뭔가 크고 파괴적인 공격이 시작될 것만 같아, 보안 업체, 인터넷 공급 업체, 정부 기관, 사법 기관들이 감염된 장비들을 찾아내고 패치하는 데에 주력하고 있다. 하지만 보안에 취약한 사물인터넷 장비들이 어떤 식으로 유통되고 관리되는지 생각할 때, 이 작업은 쉽지 않아 보인다.
[이미지 = iclickart]
이 대형 봇넷의 중심에는 VPN필터(VPNFilter)라는 멀웨어가 존재한다. 이 멀웨어는 3단계에 걸쳐 장비를 감염시킨다. 첫 번째 단계는 멀쩡한 장비에 발을 들여놓는 것으로, 다른 사물인터넷 멀웨어들과 달리 시스템을 껐다 켜도 사라지지 않는다. 두 번째 단계에서는 ‘정찰’ 작업이 진행된다. 장비 내 파일들과 데이터를 수집하며, 혹여 분석될 가능성을 차단하고자 자가 파괴 기능도 탑재된다. 그 다음 마지막 단계에서는 다량의 모듈들이 투입된다. 웹사이트 크리덴셜과 모드버스 스카다(Modbus SCADA) 프로토콜을 수집하는 모듈과 토르 익명화 기능을 가진 모듈이 여기에 포함되어 있다.
그러므로 VPN필터는 스파이 행위에도 사용될 수 있고 파괴를 목적으로 한 공격에도 활용 가능하다. 이를 발견한 시스코의 탈로스 팀은 “다른 나라의 사회 기반 시설을 겨냥해 정찰 및 파괴 작전을 펼칠 수 있게 해주는 고급 멀웨어 및 공격 인프라”라고 설명한다. 또한 VPN필터의 첫 목표는 우크라이나로 보이는데, 그 이유는 50만대의 감염된 장비들 중 대다수가 우크라이나에 있기 때문이다. 게다가 공격자들이 최근 우크라이나에 서브네트워크와 C&C 서버를 설치하기도 했다.
VPN필터에는 이전에 우크라이나 정전 사태 때 발견된 블랙에너지(Black Energy) 멀웨어와 정확히 일치하는 복사본도 포함되어 있다고 한다. 탈로스 팀의 수석 위협 분석가인 크레이그 윌리엄즈(Craig Williams)는 블랙에너지에 대해 “2015년 우크라이나 서부 지역을 깜깜하게 만든 장본인이며, 게임체인저”라고 설명한다. 블랙에너지는 러시아가 만든 것으로 여겨지고 있다. 현재 VPN필터가 만든 봇넷에는 링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(NETGEAR), TP-Link 가정용 라우터와 큐냅(QNAP)의 NAS 장비들이 가득하다.
그러나 시스코는 VPN필터 뒤에 러시아가 있다고 선언하지 않았다. 관련성이 있을 뿐이라고 언급하기만 했다. “블랙에너지와 우크라이나라는 요소들이 겹쳐 있긴 합니다. 코드도 엇비슷한 정도가 아니라 완전히 똑같아 유사성 논란도 있을 여지가 없습니다. 러시아가 떠오르긴 하지만 누군가 러시아로 보이기 위해 이런 장치들을 했을 가능성도 있습니다. 누가 됐든 현재까지 발견된 정보에 의하면, 우크라이나의 제헌절(6월 28일)에 맞춘 대규모 파괴형 공격이 계획 중에 있는 것이 확실합니다. 목표는 당연히 우크라이나고요.”
우크라이나의 국가 보안 센터인 SBU는 VPN필터가 러시아의 행위라고 주장하고 있다. 그러면서 수도인 키예프에서 이번 토요일에 열리는 UEFA 챔피언스 리그 시합에 맞춘 사이버 공격에 대한 가능성을 언급하고, 그에 대한 대비를 촉구했다. “우크라이나 영토 내 수많은 장비들을 겨냥한 대규모 감염 행위는 러시아 정부의 짓이 명백하며, 우크라이나에서 열리는 스포츠 행사를 노리고 사이버 공격을 감행할 계획을 가지고 있는 것이 분명합니다.”
시스코의 윌리엄즈는 “VPN필터는 여러 다양한 공격을 위해 공격자들이 미리 뚫어놓은 VPN 땅굴 같다”고 설명한다. “VPN필터를 사용해서 공격하면 공격자들을 영원히 지목할 수가 없게 됩니다. 결국 공격을 직접 감행하게 되는 건 수많은 IoT 장비들이거든요. 그 뒤에 가려져 공격자들은 완벽한 익명성을 갖게 됩니다. 또한 모듈 구조로 되어 있다는 것도 배후자를 찾는 것을 굉장히 어렵게 만듭니다. 공격은 공격대로 다양해지고요. 이렇게까지 할 수 있는 건 국가의 지원을 받는 해커들입니다.”
게다가 우크라이나의 장비들이 가장 많이 감염되었다고는 하지만 그 외에도 미국 등을 포함한 54개 국가들에도 피해가 발생하고 있는 상황이다. “자가 파괴 기능이 있는데, 이걸 장비 펌웨어에도 사용할 수 있습니다. 사용자가 장비를 더 이상 이용할 수 없게 되는 것은 물론, 회사 전체가 오프라인이 될 수도 있습니다.”
시스코가 이러한 징조를 제일 먼저 눈치 챈 건 5월 초의 일이다. 23번, 80번, 2000번, 8080번 포트에 대한 스캐닝 행위가 제일 먼저 발견됐고, 당시에는 마이크로틱 제품들과 큐냅의 NAS 시스템들이 주로 당하고 있었다. 피해는 100여개 국가로 퍼져나가는 중이었다. 그러다가 5월 8일 VPN필터 감염이 급속도로 진행되었는데, 이 때는 대부분 우크라이나에서였다. 5월 17일에도 비슷한 일이 일어났다. 이에 이 일을 공개하고 진압에 나섰다.
현재 시스코는 영향을 받은 제조업체들 및 사이버 위협 동맹(Cyber Threat Alliance)의 회원사들과 함께 고객들에게 이러한 사실을 알리고 위험체 처한 장비들을 찾아내는 활동에 주력하고 있다고 한다. 그러면서 이번 공격과 관련 있는 도메인들을 블랙리스트 처리하는 것도 잊지 않았다. “VPN필터를 타고 어떤 공격이 도착할지 모릅니다. 두 번째 낫페트야일 수도 있고, 대규모 디도스일 수도 있고요.”
어떤 조치를 취해야 하나?
위에 언급된 제조사의 장비를 가지고 있다면 사용자들은 즉시 장비를 껐다 켜라고 시스코 팀은 권장한다. “그럴 경우 2단계와 3단계 공격을 차단할 수 있습니다. 다만 1단계 침투는 여전히 남아있게 되는데요, 따라서 최대한 자주 장비를 껐다 켜줘야 합니다. 임시방편일 뿐이죠. 장비 제조사에 연락을 취하거나 홈페이지에 접속해 최신 업데이트를 설치하고 크리덴셜을 바꿔주는 것이 보다 더 근본적인 해결책이 됩니다.”
이는 넷기어 측에서도 고객들에게 권장하고 있는 내용이다. 넷기어는 이미 펌웨어 업데이트를 배포하고 있다.
한편 시스코는 인터넷 통신 업자들도 보다 능동적으로 이 문제에 접근해야 한다고 촉구하고 있다. “라우터 장비와 같은 경우, 리부트가 쉽지 않은 경우가 있습니다. 인터넷 통신 업체가 고객들에게 도움을 제공해야 할 경우도 있고요. 이런 문제를 먼저 파악해 고객들을 지원해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
