2010년대 중반 세상을 놀라게 했던 미라이 봇넷의 개발자들이 다시 한 번 봇넷을 들고 나타났다. 디도스 공격에 집중한 봇넷인데, 미라이와는 비교도 안 될 정도로 강력하다. 다만 아직까지 덜 완성된 듯한 모습도 보이고 있다.
[보안뉴스 문가용 기자] 악명 높은 미라이(Mirai)를 개발했던 개발자들이 최근 새로운 봇넷을 들고 나타났다. 이름은 히나타봇(HinataBot)으로, 미라이보다 적은 자원을 동원하여 훨씬 큰 피해를 입힐 수 있는 봇넷이라고 한다.
[이미지 = utoimage]
미라이는 세계에서 가장 악명이 높은 봇넷이라고 해도 과언이 아니다. 2010년대 중반부터 세상에 나와 활동을 시작했으며, 라우터나 카메라 등 사물인터넷 장비들을 디도스 공격에 악용한다는 특징을 가지고 있다. 등장하자마자 프랑스의 기술 업체 OVH, 라이베리아 정부, DNS 업체 딘(Dyn)을 공격하며 세상을 놀라게 했다. 특히 딘을 겨냥한 공격 때문에 트위터, 레딧, 깃허브, CNN 등 유명 사이트들이 일제히 마비되기도 했었다. 그리고 미라이 소스코드가 유출되는 바람에 수많은 ‘후예’들이 탄생했다.
지난 3월 16일 보안 업체 아카마이(Akamai)는 히나타봇이라는 멀웨어가 새롭게 등장했다고 경고하며, “1월 중순부터 지금까지 한창 개발되는 중”이라고 밝혔었다. 하지만 그럼에도 미라이보다 훨씬 강력한 상태였다고 한다. “이미 초당 3 테라바이트가 넘는 트래픽을 발생시킬 수 있는 기능을 가지고 있었습니다. 미라이와 비교했을 때 상당히 앞서 있다는 걸 알 수 있습니다.”
히나타봇, 얼마나 강력한가?
미라이 봇넷은 전성기 시절 초당 623 기가바이트의 트래픽을 피해자의 네트워크로 보낼 수 있었다. OVH 공격 당시에는 초당 1 테라바이트에 가까워지기도 했었다. 히나타봇은 어떨까? 아카마이는 10초 동안 공격을 이어가는 실험을 진행했고, 그 결과 “1천 개의 노드만 가지고 있어도 초당 336 기가바이트의 UDP 플러딩 공격을 할 수 있다”는 것을 알아냈다. “히나타봇의 자원 중 1%만으로도 미라이 봇넷의 절반 혹은 1/3에 해당하는 위력을 뽐낼 수 있었다는 뜻입니다.”
그렇다면 히나타봇 1만 개 노드로는 어떤 공격을 할 수 있을까? 아카마이가 조사했을 때 초당 3.3 테라바이트 정도가 기록됐다. 이미 미라이의 전성기를 훌쩍 넘어선 수치다. “물론 히나타봇에 편입된 장비가 어떤 것이며, 어떤 서버들이 공격에 이용되거나 표적이 되느냐, 대역폭과 하드웨어의 최대치가 어느 정도이냐에 따라 수치는 다양하게 나타날 수 있습니다. 저희의 실험 결과는 어디까지나 실험실에서 측정된 것입니다. 하지만 분명한 건 지금 히나타봇은 미라이봇을 아득히 뛰어넘는 봇넷이라는 겁니다.”
공격자들이 고 언어를 선호하는 이유
미라이나 히나타봇이나 배후에는 같은 개발자들이 있는데 어떻게 불과 수년 만에 이렇게까지 성능을 개량시킬 수 있었을까? 아카마이의 수석 연구원인 앨런 웨스트(Allen West)는 “C나 C++과 같은 언어에서 고로 선회했기 때문”이라고 설명한다. 참고로 미라이는 C 언어로 작성됐다.
최근 들어 사이버 공격자들은 프로그래밍 언어를 활용하는 데 있어 이전보다 열린 태도로 접근한다. “새로운 언어를 보다 대담하게 활용하는 편입니다. 그 중에서도 고 언어가 현재 주목을 받는 편입니다. 히나타봇의 주요한 부분들도 고 언어로 만들어졌습니다. 고 언어는 C와 비슷한 점이 있으면서도 대체적으로 더 강력한 편입니다.” 아카마이의 연구원 채드 시먼(Chad Seaman)의 설명이다. “뿐만 아니라 오류 처리와 메모리 관리 등의 측면에서도 나아지고 있습니다.”
게다가 새 언어들은 기존의 언어들에 비해 배우고 활용하는 게 쉬워서 멀웨어 제작의 진입 장벽을 낮춰준다는 장점도 가지고 있다고 시먼은 짚는다. “사용하기 쉽다는 건 초보자들에게도 희소식이지만 이미 어느 정도 실력을 갖춘 자들에게도 좋은 소식입니다. 같은 노력을 들여 더 높은 효과를 내고, 더 강력한 성능을 발휘하게 할 수 있다는 뜻이니까요.”
이런 여러 가지 이유 덕분에 고 언어는 멀웨어 개발자들 사이에서 빠르게 인기를 높이는 중이다. 최근에 나온 고 기반 봇넷만 하더라도 kmsdbot, 고트림(GoTrim), 고브루트포서(GoBruteForcer) 등 여러 가지다. “조만간 고 언어가 멀웨어 개발자들 사이에서 주류로 올라올 거라고 봅니다. 그게 아니더라도 주류에 준하는 데에까지는 이를 겁니다.”
히나타봇, 어느 정도로 실질적인 위협일까?
히나타봇이 매우 위험하고 강력한 멀웨어인 건 사실이지만 방어자들에게 희망이 존재한다. “제일 먼저 히나타봇이 각종 시스템을 감염시키기 위해 익스플로잇 하는 취약점들이 익히 알려진 것이라는 점은 방어하는 입장에서는 좋은 소식입니다. 2016~7년 미라이가 처음 등장했을 때만 하더라도 사물인터넷 장비의 취약점 익스플로잇과 패치라는 건 꽤나 낯선 개념이었습니다. 그래서 미라이가 더 강력한 인상을 남긴 면도 있습니다. 지금은 그런 상황과 거리가 아주 멀죠.” 시먼의 설명이다.
그렇기 때문에 미라이처럼 단기간 내에 10만 노드 규모로 성장하기는 힘들 것으로 보인다고 시먼은 말을 이어간다. “과거의 미라이가 사용하던 전략은 과거이기 때문에 효과적이었습니다. 지금도 그런 전략을 똑같이 차용한다면 효과가 그리 좋을 것 같지 않습니다.”
하지만 히나타봇이 이제 겨우 2개월 된 봇넷이라는 것을 기억해야 한다고 시먼은 말한다. “약점을 보완할 시간이 앞으로도 충분하죠. 지금 저희가 파악하는 약점들은 개발자들도 인지하고 있을 것이고, 보완할 계획을 가지고 있을 가능성이 높습니다. 현재까지 발견된 히나타봇은 일종의 베타 버전에 불과한 것으로 보이기도 합니다. 지금의 수준으로도 공략하기 쉬운 대상들을 먼저 공략해 가면서 멀웨어를 서서히 업그레이드 할 것으로 예상합니다.”
아카마이의 멀웨어 전문가 래리 캐시달러(Larry Cashdollar)는 “히나타봇이 현존하는 보안 기술이나 방법론을 획기적으로 우회하지는 못한다”고 설명하며 “평소 보안을 위해 하던 것들을 꼼꼼하게 이어나가면 충분히 방어가 가능하다”고 말한다. “늦지 않은 패치와 안전한 비밀번호 사용 습관 등 보안 기본기만으로 아직은 대처가 됩니다. 다만 나중에 업그레이드 버전이 나온다면 상황이 달라질 수 있습니다.”
3줄 요약
1. 새롭게 등장한 히나타봇, 미라이 개발자들이 직접 개발.
2. 디도스 공격이라는 측면에서는 미라이와 비교도 안 되는 강력함.
3. 하지만 아직 미완성이라는 점에서 오는 취약함도 존재.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 악명 높은 미라이(Mirai)를 개발했던 개발자들이 최근 새로운 봇넷을 들고 나타났다. 이름은 히나타봇(HinataBot)으로, 미라이보다 적은 자원을 동원하여 훨씬 큰 피해를 입힐 수 있는 봇넷이라고 한다.
[이미지 = utoimage]
미라이는 세계에서 가장 악명이 높은 봇넷이라고 해도 과언이 아니다. 2010년대 중반부터 세상에 나와 활동을 시작했으며, 라우터나 카메라 등 사물인터넷 장비들을 디도스 공격에 악용한다는 특징을 가지고 있다. 등장하자마자 프랑스의 기술 업체 OVH, 라이베리아 정부, DNS 업체 딘(Dyn)을 공격하며 세상을 놀라게 했다. 특히 딘을 겨냥한 공격 때문에 트위터, 레딧, 깃허브, CNN 등 유명 사이트들이 일제히 마비되기도 했었다. 그리고 미라이 소스코드가 유출되는 바람에 수많은 ‘후예’들이 탄생했다.
지난 3월 16일 보안 업체 아카마이(Akamai)는 히나타봇이라는 멀웨어가 새롭게 등장했다고 경고하며, “1월 중순부터 지금까지 한창 개발되는 중”이라고 밝혔었다. 하지만 그럼에도 미라이보다 훨씬 강력한 상태였다고 한다. “이미 초당 3 테라바이트가 넘는 트래픽을 발생시킬 수 있는 기능을 가지고 있었습니다. 미라이와 비교했을 때 상당히 앞서 있다는 걸 알 수 있습니다.”
히나타봇, 얼마나 강력한가?
미라이 봇넷은 전성기 시절 초당 623 기가바이트의 트래픽을 피해자의 네트워크로 보낼 수 있었다. OVH 공격 당시에는 초당 1 테라바이트에 가까워지기도 했었다. 히나타봇은 어떨까? 아카마이는 10초 동안 공격을 이어가는 실험을 진행했고, 그 결과 “1천 개의 노드만 가지고 있어도 초당 336 기가바이트의 UDP 플러딩 공격을 할 수 있다”는 것을 알아냈다. “히나타봇의 자원 중 1%만으로도 미라이 봇넷의 절반 혹은 1/3에 해당하는 위력을 뽐낼 수 있었다는 뜻입니다.”
그렇다면 히나타봇 1만 개 노드로는 어떤 공격을 할 수 있을까? 아카마이가 조사했을 때 초당 3.3 테라바이트 정도가 기록됐다. 이미 미라이의 전성기를 훌쩍 넘어선 수치다. “물론 히나타봇에 편입된 장비가 어떤 것이며, 어떤 서버들이 공격에 이용되거나 표적이 되느냐, 대역폭과 하드웨어의 최대치가 어느 정도이냐에 따라 수치는 다양하게 나타날 수 있습니다. 저희의 실험 결과는 어디까지나 실험실에서 측정된 것입니다. 하지만 분명한 건 지금 히나타봇은 미라이봇을 아득히 뛰어넘는 봇넷이라는 겁니다.”
공격자들이 고 언어를 선호하는 이유
미라이나 히나타봇이나 배후에는 같은 개발자들이 있는데 어떻게 불과 수년 만에 이렇게까지 성능을 개량시킬 수 있었을까? 아카마이의 수석 연구원인 앨런 웨스트(Allen West)는 “C나 C++과 같은 언어에서 고로 선회했기 때문”이라고 설명한다. 참고로 미라이는 C 언어로 작성됐다.
최근 들어 사이버 공격자들은 프로그래밍 언어를 활용하는 데 있어 이전보다 열린 태도로 접근한다. “새로운 언어를 보다 대담하게 활용하는 편입니다. 그 중에서도 고 언어가 현재 주목을 받는 편입니다. 히나타봇의 주요한 부분들도 고 언어로 만들어졌습니다. 고 언어는 C와 비슷한 점이 있으면서도 대체적으로 더 강력한 편입니다.” 아카마이의 연구원 채드 시먼(Chad Seaman)의 설명이다. “뿐만 아니라 오류 처리와 메모리 관리 등의 측면에서도 나아지고 있습니다.”
게다가 새 언어들은 기존의 언어들에 비해 배우고 활용하는 게 쉬워서 멀웨어 제작의 진입 장벽을 낮춰준다는 장점도 가지고 있다고 시먼은 짚는다. “사용하기 쉽다는 건 초보자들에게도 희소식이지만 이미 어느 정도 실력을 갖춘 자들에게도 좋은 소식입니다. 같은 노력을 들여 더 높은 효과를 내고, 더 강력한 성능을 발휘하게 할 수 있다는 뜻이니까요.”
이런 여러 가지 이유 덕분에 고 언어는 멀웨어 개발자들 사이에서 빠르게 인기를 높이는 중이다. 최근에 나온 고 기반 봇넷만 하더라도 kmsdbot, 고트림(GoTrim), 고브루트포서(GoBruteForcer) 등 여러 가지다. “조만간 고 언어가 멀웨어 개발자들 사이에서 주류로 올라올 거라고 봅니다. 그게 아니더라도 주류에 준하는 데에까지는 이를 겁니다.”
히나타봇, 어느 정도로 실질적인 위협일까?
히나타봇이 매우 위험하고 강력한 멀웨어인 건 사실이지만 방어자들에게 희망이 존재한다. “제일 먼저 히나타봇이 각종 시스템을 감염시키기 위해 익스플로잇 하는 취약점들이 익히 알려진 것이라는 점은 방어하는 입장에서는 좋은 소식입니다. 2016~7년 미라이가 처음 등장했을 때만 하더라도 사물인터넷 장비의 취약점 익스플로잇과 패치라는 건 꽤나 낯선 개념이었습니다. 그래서 미라이가 더 강력한 인상을 남긴 면도 있습니다. 지금은 그런 상황과 거리가 아주 멀죠.” 시먼의 설명이다.
그렇기 때문에 미라이처럼 단기간 내에 10만 노드 규모로 성장하기는 힘들 것으로 보인다고 시먼은 말을 이어간다. “과거의 미라이가 사용하던 전략은 과거이기 때문에 효과적이었습니다. 지금도 그런 전략을 똑같이 차용한다면 효과가 그리 좋을 것 같지 않습니다.”
하지만 히나타봇이 이제 겨우 2개월 된 봇넷이라는 것을 기억해야 한다고 시먼은 말한다. “약점을 보완할 시간이 앞으로도 충분하죠. 지금 저희가 파악하는 약점들은 개발자들도 인지하고 있을 것이고, 보완할 계획을 가지고 있을 가능성이 높습니다. 현재까지 발견된 히나타봇은 일종의 베타 버전에 불과한 것으로 보이기도 합니다. 지금의 수준으로도 공략하기 쉬운 대상들을 먼저 공략해 가면서 멀웨어를 서서히 업그레이드 할 것으로 예상합니다.”
아카마이의 멀웨어 전문가 래리 캐시달러(Larry Cashdollar)는 “히나타봇이 현존하는 보안 기술이나 방법론을 획기적으로 우회하지는 못한다”고 설명하며 “평소 보안을 위해 하던 것들을 꼼꼼하게 이어나가면 충분히 방어가 가능하다”고 말한다. “늦지 않은 패치와 안전한 비밀번호 사용 습관 등 보안 기본기만으로 아직은 대처가 됩니다. 다만 나중에 업그레이드 버전이 나온다면 상황이 달라질 수 있습니다.”
3줄 요약
1. 새롭게 등장한 히나타봇, 미라이 개발자들이 직접 개발.
2. 디도스 공격이라는 측면에서는 미라이와 비교도 안 되는 강력함.
3. 하지만 아직 미완성이라는 점에서 오는 취약함도 존재.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
