미라이, 가프짓, IoT리퍼라는 기존 사물인터넷 멀웨어의 소스코드 발견돼
P2P 구성이라 서버 압수 등의 활동 통해 폐쇄하기 힘들어...다행히 감염 속도 느려
[보안뉴스 문가용 기자] 보안 업체 센추리링크(CenturyLink)의 연구원들이 새로운 멀웨어 패밀리를 찾아냈다. 이미 이전부터 악명을 떨쳐온 멀웨어 세 개를 짜깁기해서 만들어진 것으로 분석되고 있으며, 주요 표적은 사물인터넷 장비라고 한다.
[이미지 = iclickart]
센추리링크 측은 이 멀웨어를 모지(Mozi)라고 부르고 있다. 모지는 주로 디도스 공격에 활용될 것으로 보이지만, 그 외에 데이터 탈취와 페이로드 실행 등에도 동원될 정도의 기능을 갖추고 있다. 다만 모지를 활용한 실제 공격 사례는 아직 발견되지 않았다.
모지를 구성하고 있는 소스코드는 대부분 가프짓(Gafgyt), 미라이(Mirai), IoT리퍼(IoT Reaper)라는 기존 멀웨어에서 나온 것들이며, 모지 역시 이 세 가지 선배들과 마찬가지로 가정용 라우터, DVR 등을 주로 노린다. 디폴트 비밀번호나 약한 비밀번호를 통해 침투하는 게 주요 기법이며, 사실상 거의 모든 리눅스 기반 장비에 침투 가능하다.
미라이와 가프짓을 기반으로 한 변종들은 이전에도 여러 번 등장한 바 있다. 이런 변종들은 대부분 중앙화 된 C&C 인프라를 가지고 있는데, 모지는 조금 다르다. 모지에 감염된 장비들 전부 P2P 구성에 편입되기 때문이다. 그래서 모지는 C&C 서버만 압수해도 크게 힘을 잃는 여타 봇넷들과 달리 폐쇄 조치를 취하는 게 대단히 어렵다고 센추리링크 측은 설명한다.
특히 센추리링크의 마이클 벤자민(Michael Benjamin)은 “P2P 봇넷의 경우, 한 지점에 중요 자원이 몰려 있는 구성이 아니므로 인프라의 일부를 제거하는 데 성공한다고 해서 봇넷 전체에 큰 영향을 미치는 게 어렵다”고 설명한다. 이는 인프라 자체의 저항력이 강하다는 것으로, 앞으로 끈질긴 생명력을 보여줄 것으로 보인다.
센추리링크가 모지를 발견한 건 지난 12월의 일이다. 당시에는 IoT리퍼의 변종인 줄 알았다고 한다. 그 외 다른 보안 업체들도 모지를 발견한 적이 있긴 하지만 대부분 미라이나 가프짓 등으로 착각했다.
12월 이후 모지는 계속해서 증식했고, 2월에는 2200개의 봇을 거느린 규모로 성장했다. 하지만 그 후 조금씩 수가 줄어들기 시작했다. 센추리링크는 지난 4개월 동안 모지가 감염시킨 장비의 총 누적 량을 15,850개로 보고 있다. 아주 높은 수준의 위협은 아니지만 아주 낮은 수준도 아니라고 한다. “디도스 공격을 한다고 했을 때 2200개 이하의 봇만 동원할 수 있는 상태라면 그리 심각한 결과가 나오지 않습니다.”
센추리링크에 따르면 모지 봇넷에 편입된 봇들(감염된 시스템)은 DHT로 상호 통신을 실시한다고 한다. 또한 모지에 감염된 장비 10개 중 7개가 중국에 있는 것으로 나타나기도 했다. 그 다음 많은 감염률을 기록하고 있는 나라는 미국과 인도라고 한다(각각 10%). 그 외에 한국, 브라질, 러시아에서도 모지의 활동이 발견되기도 했다.
미라이가 충격적으로 등장한 이후 보안 전문가들은 앞으로 사물인터넷 생태계가 각종 공격으로 물들 것이라고 예측했었다. 물론 각종 사물인터넷 봇넷이 등장하긴 했지만 아직까지 보안 전문가들이 예상했던 무서운 그림은 실현되지 않고 있다. 벤자민은 그 이유에 대해 “사물인터넷 장비를 노리는 공격자들이 너무나 많아서”라고 말한다. “경쟁이 치열합니다. 서로 견제하면서 공격이 상쇄되는 효과가 나타나고, 그래서 공격자들이 실제로 노릴 만한 장비가 그리 많지 않은 상태입니다.”
그러면서 벤자민은 “이런 때에 장비 보호에 대한 기틀을 더 확고히 마련해야 할 것”이라고 주장했다. “사이버 범죄가 산업화 되면서, 지금 일어나고 있는 충돌이 어느 정도 가닥을 잡는 순간 사물인터넷 생태계는 지금과 전혀 다른 수준의 위험을 맞이할 수 있거든요. 지금 사이버 범죄자들끼리 서로를 상쇄하고 있는 이 상황이 마지막 기회일지도 모릅니다.”
3줄 요약
1. 사물인터넷 장비 노리는 봇넷 멀웨어, 모지 발견됨.
2. 모지는 가푸짓, 미라이, IoT리퍼라는 기존 사물인터넷 멀웨어의 소스코드를 짜깁기해서 만들어짐.
3. 현재 사물인터넷 생태계는 공격자들의 상호 경쟁으로 생각보다 덜 위험한 상태.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
P2P 구성이라 서버 압수 등의 활동 통해 폐쇄하기 힘들어...다행히 감염 속도 느려
[보안뉴스 문가용 기자] 보안 업체 센추리링크(CenturyLink)의 연구원들이 새로운 멀웨어 패밀리를 찾아냈다. 이미 이전부터 악명을 떨쳐온 멀웨어 세 개를 짜깁기해서 만들어진 것으로 분석되고 있으며, 주요 표적은 사물인터넷 장비라고 한다.
[이미지 = iclickart]
센추리링크 측은 이 멀웨어를 모지(Mozi)라고 부르고 있다. 모지는 주로 디도스 공격에 활용될 것으로 보이지만, 그 외에 데이터 탈취와 페이로드 실행 등에도 동원될 정도의 기능을 갖추고 있다. 다만 모지를 활용한 실제 공격 사례는 아직 발견되지 않았다.
모지를 구성하고 있는 소스코드는 대부분 가프짓(Gafgyt), 미라이(Mirai), IoT리퍼(IoT Reaper)라는 기존 멀웨어에서 나온 것들이며, 모지 역시 이 세 가지 선배들과 마찬가지로 가정용 라우터, DVR 등을 주로 노린다. 디폴트 비밀번호나 약한 비밀번호를 통해 침투하는 게 주요 기법이며, 사실상 거의 모든 리눅스 기반 장비에 침투 가능하다.
미라이와 가프짓을 기반으로 한 변종들은 이전에도 여러 번 등장한 바 있다. 이런 변종들은 대부분 중앙화 된 C&C 인프라를 가지고 있는데, 모지는 조금 다르다. 모지에 감염된 장비들 전부 P2P 구성에 편입되기 때문이다. 그래서 모지는 C&C 서버만 압수해도 크게 힘을 잃는 여타 봇넷들과 달리 폐쇄 조치를 취하는 게 대단히 어렵다고 센추리링크 측은 설명한다.
특히 센추리링크의 마이클 벤자민(Michael Benjamin)은 “P2P 봇넷의 경우, 한 지점에 중요 자원이 몰려 있는 구성이 아니므로 인프라의 일부를 제거하는 데 성공한다고 해서 봇넷 전체에 큰 영향을 미치는 게 어렵다”고 설명한다. 이는 인프라 자체의 저항력이 강하다는 것으로, 앞으로 끈질긴 생명력을 보여줄 것으로 보인다.
센추리링크가 모지를 발견한 건 지난 12월의 일이다. 당시에는 IoT리퍼의 변종인 줄 알았다고 한다. 그 외 다른 보안 업체들도 모지를 발견한 적이 있긴 하지만 대부분 미라이나 가프짓 등으로 착각했다.
12월 이후 모지는 계속해서 증식했고, 2월에는 2200개의 봇을 거느린 규모로 성장했다. 하지만 그 후 조금씩 수가 줄어들기 시작했다. 센추리링크는 지난 4개월 동안 모지가 감염시킨 장비의 총 누적 량을 15,850개로 보고 있다. 아주 높은 수준의 위협은 아니지만 아주 낮은 수준도 아니라고 한다. “디도스 공격을 한다고 했을 때 2200개 이하의 봇만 동원할 수 있는 상태라면 그리 심각한 결과가 나오지 않습니다.”
센추리링크에 따르면 모지 봇넷에 편입된 봇들(감염된 시스템)은 DHT로 상호 통신을 실시한다고 한다. 또한 모지에 감염된 장비 10개 중 7개가 중국에 있는 것으로 나타나기도 했다. 그 다음 많은 감염률을 기록하고 있는 나라는 미국과 인도라고 한다(각각 10%). 그 외에 한국, 브라질, 러시아에서도 모지의 활동이 발견되기도 했다.
미라이가 충격적으로 등장한 이후 보안 전문가들은 앞으로 사물인터넷 생태계가 각종 공격으로 물들 것이라고 예측했었다. 물론 각종 사물인터넷 봇넷이 등장하긴 했지만 아직까지 보안 전문가들이 예상했던 무서운 그림은 실현되지 않고 있다. 벤자민은 그 이유에 대해 “사물인터넷 장비를 노리는 공격자들이 너무나 많아서”라고 말한다. “경쟁이 치열합니다. 서로 견제하면서 공격이 상쇄되는 효과가 나타나고, 그래서 공격자들이 실제로 노릴 만한 장비가 그리 많지 않은 상태입니다.”
그러면서 벤자민은 “이런 때에 장비 보호에 대한 기틀을 더 확고히 마련해야 할 것”이라고 주장했다. “사이버 범죄가 산업화 되면서, 지금 일어나고 있는 충돌이 어느 정도 가닥을 잡는 순간 사물인터넷 생태계는 지금과 전혀 다른 수준의 위험을 맞이할 수 있거든요. 지금 사이버 범죄자들끼리 서로를 상쇄하고 있는 이 상황이 마지막 기회일지도 모릅니다.”
3줄 요약
1. 사물인터넷 장비 노리는 봇넷 멀웨어, 모지 발견됨.
2. 모지는 가푸짓, 미라이, IoT리퍼라는 기존 사물인터넷 멀웨어의 소스코드를 짜깁기해서 만들어짐.
3. 현재 사물인터넷 생태계는 공격자들의 상호 경쟁으로 생각보다 덜 위험한 상태.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
