Offcanvas

IoT / 검색|인터넷 / 보안 / 비즈니스|경제

현실화된 IoT 대규모 공격··· 미라이 봇넷 성공의 비밀

2016.10.31 Tim Greene  |  Network World
IoT 장치를 통해 이뤄지는 미라이(Mirai) DDoS 봇넷 공격이 성공할 수 있었던 이유가 몇몇 있다. 초보자도 쉽게 봇넷을 만들어 공격에 이용할 수 있는 소프트웨어가 이미 시중에 공개돼 있었던 것이 그 중 하나다.


Credit: Flickr

플래시포인트(Flashpoint)의 추정에 따르면, 주요 웹사이트에 영향을 준 Dyn DDoS 공격자는 스크립트 키디(Script Kiddie, 초보적인 코딩 기술로 웹사이트를 공격하는 해커)가 유력하다. 이는 '사물 인터넷 생태계가 붕괴된 상태'라는 트렌드 마이크로(Trend Micro)의 분석을 뒷받침한다.

US-CERT에 따르면, 미라이 봇을 만든 해커는 IoT 봇넷을 키우기 위해 미라이 코드에 주입한 62개의 디폴트(기본) 사용자명과 비밀번호를 이용 장치에 로그인하려 시도하면서 수 많은 IP주소를 스캔했다.

그 후 미라이는 탈취한 장치를 명령 대기 상태의 IRC형 서비스와 연결시켰다. 봇이 가장 먼저 하는 일 중 하나는 감염시킬 취약한 장치를 더 많이 찾기 위해 인터넷을 스캔하는 것이다. 보안용 카메라, DVR, 가정용 라우터가 큰 비중을 차지한다.

대형 미라이 DDoS의 공격에 가장 먼저 영향을 받았던 krebsonsecurit.com 사이트의 브라이언 크레브스는 이런 장치들의 리스트를 작성해 제시했다.

아카마이의 조쉬 사울 웹 조안 담당 VP는 미라이 봇넷이 ACK, DNS, GRE, SYN, UDP, STOMP(Simple Text Oriented Message Protocol) 등 여러 도구를 이용해 DDoS 공격을 한다고 설명했다.

설명에 따르면 미라이는 포렌식 분석을 피해 은닉하지 않는다. 사실 굳이 그럴 필요가 없는데, IoT 기기 소유자 다수가 별다른 포렌식 역량을 갖추지 못하고 있기 때문이다.

레벨 3(Level 3)의 데일 드류 CSIO는 미라이가 다른 봇넷처럼 C2(Command & Control) 서버를 통해 좀비 장치에 명령을 내리며, 감염된 장치의 상당수가 중소기업 네트워크의 장치들이라고 말했다. 그에 따르면 미라이 봇넷은 감지를 피하기 위해 매일 한 번씩 위치를 변경한다. 다른 IoT 봇넷의 3배에 달하는 수치다.

이들 IoT 봇넷은 가능한 많은 트래픽을 유발, 정상 트래픽이 도달하지 못하도록 만드는 볼륨 공격을 시도한다. 일부는 그 양이 1Tbps 이상인 것으로 추정하고 있다.

IoT 장치가 많기 때문에 재빨리 대형 봇넷을 구성할 수 있다. US-CERT에 따르면, 미라이 봇넷 공격을 감행한 것으로 의심되는 해커의 경우 IoT 장치 38만 개를 통제하고 있는 것으로 추정된다.

많은 장치를 동원해 직접 공격하기 때문에, 방어자가 신속하게 수많은 악성 IP 주소를 파악해 차단하기가 어렵다. 리플렉션(Reflection) 공격의 경우, 수많은 개별 봇넷을 파악, 차단, 효과적으로 무력화 시킬 수 있는 또 다른 공격 장치 계층이 있다.

하이재킹 당한 IoT 장치들은 서비스 공급자가 DHCP를 통해 발행하는 무작위 변동 IP 주소를 이용하는 때가 많다. 특정 장치에서 유발되는 공격 트래픽을 식별할 수 있는 IP 주소가 바뀌기 때문에 공격자를 추적하기 더 힘들어진다는 의미이다.

왜 IoT 장치일까?
IoT 장치는 봇에 이상적인 장치군이 될 수 있다. 수백 만 IoT 장치가 존재하고, 악용이 쉬운 다음의 문제들이 있기 때문이다.

취약한 비밀번호로 관리자 포트가 노출된 장치가 많다. 안티바이러스 등 보안 소프트웨어의 지원이 미흡하며, 상시 인터넷에 연결되어 있다. 장치 소유주는 통상 장치 보안에 대한 전문성이 없는 일반 소비자나 기업이다.

또 공격자는 관리용 포트(통상 SSH와 Telent)를 직접 열기 때문에 소셜 엔지니어링, 이메일 공격, 제로 데이 공격으로 장치를 가로챌 필요가 없다.

이번 미라이 공격에 사용된 장치 상당수에는 시옹마이 테크놀로지(XiongMai Technologies)에서 만든 부품이 들어있었다. 이 회사는 보안 업데이트를 위해 소프트웨어 업데이트를 하고, 제품을 리콜했다.

감염 여부 확인
SSH 및 텔넷 포트(22 및 23)가 닫혀 있는 것은 IoT 장치가 감염되었다는 신호이다. 미라이는 관리자 액세스, 다른 공격자의 장치 공격을 차단하기 위해 포트를 닫는다. 미라이는 메모리에 상주하기 때문에, 장치를 리부팅 해도 다시 실행된다. 오프라인 상태로 리부팅을 하고, 디폴트 비밀번호를 바꿔야 재감염을 방지할 수 있다. 때론 비밀번호 변경이 어렵거나 불가능한 경우도 있다.

임퍼바(Imperva)의 연구원들에 따르면, 보호 IoT 장치로 트래픽이 유입되지 못하도록 방화벽을 설정하면 감염을 막을 수 있다.

향후 DNS 서비스 공격으로 웹사이트가 피해를 받는 것을 막기 위해 기업들이 활용할 수 있는 방법들이 있다. 가장 좋은 방법은 1개 이상의 DNS 공급자와 계약, 하나가 손상되어도 다른 서비스를 이용할 수 있게 만드는 것이다. 또 서비스 중단 때 해야 할 일, 이를 처리할 관계자의 이름과 전화번호 등을 사전에 문서화해야 한다. 관계자 모두가 자신의 책임을 숙지하고, 유사한 상황을 가정해 연습을 해야 한다.

-> '더 큰 DDoS 공격 온다' 전문가들 전망··· 왜?
-> '재앙은 이제 시작이다' 사물인터넷 기기의 역습
-> 칼럼 | '정교한' 공격이라서 당했다고? 진짜?
-> '보안 책임자에게 전하는' 유출 사고 시 커뮤니케이션 가이드

ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.