• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

리눅스 라우터를 타고 번지는 무스 멀웨어의 미스터리 2015.05.28

기능성의 다양한 잠재력, 하지만 소셜 네트워크 조회수만 조작

임베디드 시스템의 보안 생태계 미흡함 드러나


[보안뉴스 문가용] 리눅스 라우터를 겨냥한 새로운 웜이 등장했다. 그런데 이 웜은 리눅스 라우터와 관련된 취약점을 통해 들고나는 게 아니라 여러 ‘약한’ 암호를 무한히 대입해보는 브루트포스 방식을 가지고 있다고 ESET의 연구원들이 밝혔다. 이 웜의 이름은 무스(Moose)로 DNS 하이재킹, 디도스 등 다양한 사용처를 가지고 있는 것으로 드러났다. 다만 현재까지 무스를 악용한 공격자들은 소셜 네트워크 관련 공격만 한 것으로 보인다.

 


무스는 암화화가 되지 않은 네트워크 트래픽을 가로채는 기능을 가졌으며 가장 주요한 페이로드는 제너릭 프록시 서비스(generic proxy service)이다. 각종 범죄 행위에 적용 및 활용이 가능하지만 ESET가 조사한 바에 의하면 소셜 네트워크 사이트에서 HTTP 쿠키를 훔치고 그걸 바탕으로 사기행각을 벌이는 데에만 사용되었다고 한다. 그것도 가짜로 ‘좋아요’나 ‘팔로우’ 수를 높이거나 가짜 계정을 만드는 정도의 수위에 그쳤단다.


ESET의 연구원인 올리비어 빌로도(Olivier Bilodeau)는 “솔직히 이 점은 풀 수 없는 미스터리였습니다. ‘아니, 겨우 인스타그램 팔로우 수 늘리자고 이 짓을 해?’라고 다들 갸우뚱 거렸죠.”


그런데 여기에 광고 및 홍보비라는 개념이 개입되면서 의문시 서서히 풀리기 시작했다고. “광고대행 업체는 페이스북이나 트위터의 ‘좋아요’나 ‘팔로우’ 수를 늘리는 것을 실적으로 삼는 곳이 많습니다. 그걸 요구하는 클라이언트도 많고요. 당연히 그에 따라 금액이 높아지죠. 즉, 무스를 활용할 줄 아는 광고업체라면 부당한 이득을 챙겼을 가능성이 높다는 겁니다.”


그런데 무스의 이상한 점은 이것만이 아니었다. 무스에는 일정한 원리나 구조가 딱히 존재하지 않는 것이다. “아마도 구조나 원리가 딱히 필요한 것 같지 않습니다. 그만큼 목표로 정해놓은 라우터에 접근하는 게 쉬웠다는 뜻이 되겠죠. 300개의 사용자 이름과 암호 콤비네이션 안에서 어지간하면 다 뚫어낸 것으로 보입니다. 300개 차례대로 대입하는 데에 대단한 구조나 원리가 필요하지는 않죠. 꼭 이런 게 아니더라도 굉장히 쉽게 원하는 바를 이룰 수 있었다, 그래서 딱히 원리와 구조가 필요 없었다는 게 본질적인 이유라고 보고 있습니다.”


빌로도는 한 마디를 더 추가했다. “고정된 패턴 혹은 작동 원리가 없다는 건, 어떻게 보면 굉장히 무서운 것입니다.”


여태까지 알려진 바 무스가 주로 겨냥하는 건 일반 소비자의 리눅스 라우터지만 그렇다고 기업들이 안심할 수 있다는 건 아니라고 ESET는 경고했다. “일단 가장 먼저 재택근무자가 위험에 노출되어 있다는 건 자명하죠. 이들은 가정용 리눅스 라우터를 많이 사용하는 소비자이죠. 또한 무스가 라우터에만 영향을 주는 건 아닙니다. 여러 임베드된 리눅스 시스템에 모두 해당되는 문제인 것이죠. 무스에 감염된 라우터는 자신에게 연결된 여러 리눅스 시스템을 주기적으로 스캔합니다.”


문제는 스캔 범위. “인터넷뿐만 아니라 인트라넷 네트워크도 모조리 스캔합니다. 즉 보통의 해킹에 노출되지 않은 부분에까지 속속 퍼질 수 있다는 것입니다.” 빌로도의 설명이 이어졌다. “그렇다면 무스를 활용하는 해커들이 할 수 있는 일이 무궁무진하게 늘어난다는 뜻이죠.”


현재 무스가 어느 정도로 퍼졌는지 파악하는 건 불가능에 가깝다. ESET에 의하면 무스의 특성 중 하나가 이 확산성이기도 하다. “P2P 프로토콜도 없는 무스는 하드코딩된 IP 주소를 C&C의 DNS 대신 사용합니다. 무스처럼 단순하고 분명한 형태도 없는 웜이 큰 위협거리가 될 수 있는 건 임베디드 시스템을 위한 보안 툴 생태계가 전혀 정립되지 않았기 때문입니다. 마지막으로 C&C가 위치한 것으로 보이는 호스트 제공 업체의 비협조적인 태도도 언급하고 싶습니다. 고객 정보 보호도 중요하지만, 글쎄요, 범죄자들까지도 고객으로 대하는 게 맞을까요?”


하지만 이 기사가 나오는 아침, 빌로도는 이런 호스트 제공 업체로부터 협조하겠다는 이메일을 한 통 받았다고 첨언했다. “무스에 대한 더 많은 정보를 캘 수 있을 것으로 보입니다. 적어도 현재 어느 정도까지 퍼졌는지 파악하는 건 시간문제라고 보입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>