라피드7과 임퍼바, 각각 미라이 무력화시키는 툴 개발, 배포
말 그대로 스캐너...완벽히 감염 치료해주는 역할 하지 않아

[보안뉴스 문가용 기자] 보안 전문업체인 임퍼바(Imperva)가 최근 미라이(Mirai) 멀웨어를 탐지해주는 무료 스캐닝 툴을 개발해 제공하기 시작했다. 미라이 멀웨어는 사물인터넷으로 봇넷을 만드는 데 사용될 수 있는 것으로, 최근 소스코드가 공개되기도 했고 미국 동부의 DNS 업체인 딘(Dyn)을 겨냥한 대규모 디도스 공격에 활용되기도 했다.


미라이는 인터넷에 연결된 일반 가전기기를 네트워크에서 검색해 찾아낸다. 웹의 IP를 스캔해서 보안 조치가 강화되지 않은 기기들을 발견해내고, 로그인 크리덴셜을 여러 가지 대입해본다. 특히 디폴트 ID와 암호를 대입해 감염을 성공시키는 것으로 알려져 있다. 그렇게 미라이에 당한 기기들은 디도스 공격에 활용된다. 이번에 임퍼바가 배포하기 시작한 게 이 미라이를 탐지해내는 툴이다.

또 다른 보안업체인 라피드7(Rapid7) 역시 IoTSeeker라는 스캐닝 툴을 공개 배포하기 시작했다. 이는 미라이 자체를 스캐닝하는 기능을 가진 툴이 아니었지만 디폴트 ID와 암호를 찾아냈다. 즉, 미라이의 암호 검색 기능을 무력화시킨 것이다.

그에 반해 이번에 임퍼바가 공개한 툴은 미라이 자체를 스캔하는 기능을 가지고 있다. 임퍼바의 마케팅 책임자인 로버트 해밀턴(Robert Hamilton)은 “가정용 사물인터넷 기기를 소유하고 있는 비전문가들을 대상으로 개발한 툴로, 네트워크 스캐닝 명령을 받으면 네트워크의 공개 IP 주소를 알아내고 바깥에서부터 게이트웨이를 확인해 원격에서 접근이 가능한 포트 중 미라이 공격에 취약한 것들을 찾아낸다”고 이 툴을 소개했다.

이렇게 해서 취약점을 발견하면 사용자들에게 해당 취약점이 발견된 곳의 IP 주소를 알려준다. 즉, 어떤 기기가 취약한지 짚어준다는 것. “그럴 땐 네트워크에 있는 모든 기기에 로그인을 해서 암호를 더 어렵게 바꿀 필요가 있습니다. 하지만 이것으로 모든 공격에서 벗어날 수 있는 건 아닙니다.”

이어 해밀턴은 “가정용으로 만들어지긴 했지만 기업에서도 유용하게 사용될 수 있다”고 덧붙였다. “미라이 멀웨어로 만들어진 봇넷을 통한 디도스 공격은 어디에나 들어갈 수 있거든요. 오히려 사물인터넷 기기는 회사에 더 많이 있는 법이죠.”

그러나 이 툴의 주요 기능이 ‘스캐닝’이라는 것만은 확실하게 인지해야 한다고 해밀턴은 설명한다. “네트워크 내에 있는 사물인터넷 기기가 취약한지 아닌지, 취약하다면 어느 기기가 취약한지 알아낼 수 있는 데에는 매우 유용한 툴입니다. 하지만 미라이가 못 들어오게 완전히 차단해주는 건 아닙니다. 감염 가능성이 높은 곳을 진단해주는 것일 뿐 그 자체로 치료제는 아닌 거죠.”

임퍼바에서 배포 중인 미라이 취약점 스캐너는 여기서 사용이 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>