소스코드 공개된 미라이 멀웨어, 이미 두 차례나 디도스 공격 성공
사용자나 제조사, 스스로 바뀌기 기대하는 건 꿈... 강력한 규제 필요

[보안뉴스 문가용 기자] 사물인터넷 기기들을 가지고 봇넷을 구성하게 해주는 미라이(Mirai) 멀웨어의 소스코드가 지난 10월 공개되면서 디도스 공격에 대한 공포가 확산되고 있다. 여기에 유명 보안 블로거인 브라이언 크렙(Brian Kreb)의 블로그와, 트위터, 핀터레스트, CNN, 에어비엔비 등의 유명 온라인 서비스의 DNS 업체인 딘(Dyn)이 실제 미라이 멀웨어에 당하면서 이 공포는 더욱 짙어졌다.


미라이가 디도스 공격을 두 차례나 연거푸 성공시킬 수 있었던 건 미라이 자체가 강력해서라기보다 사물인터넷 기기의 보안이 수준 이하였기 때문이다. 사용자가 제조사가 정해준 디폴트 암호만 바꿔줘도 미라이의 공격 성공률은 떨어진다. 네트워크 관리자가 텔넷 포트만 닫아도 같은 효과를 볼 수 있다. 하지만 사고 소식에도 이런 조치를 취하는 사람들이 드물다.

그렇다면, 미라이 멀웨어가 당신의 네트워크에 지금 존재하고 있는지 확인할 수 있는 방법이 있다면 어떨까? 보안 스타트업인 아이오티디펜스(IoT Defense)가 미라이의 공격 여부를 확인해주는 웹 스캐너를 만들어 공개했다. 이 툴은 열려 있는 TCP 포트들을 분석해 위험한지 안전한지 분석한 후 사용자에게 결과를 알려주는 기능을 갖추고 있다.

아이오티디펜스는 파이선과 노드 JS(Node JS), 제이드(Jade) 프레임워크를 사용하여 스캐너를 만들었으며, 해당 스캐너는 봇넷들이 주로 익스플로잇 하는 포트 십여 개를 검사한다. 당연히 무료로 사용이 가능하고, 사용법도 크게 어렵지 않다. 버튼 하나만 클릭하면 되는 정도니, 어지간한 사람들이라면 다 사용할 수 있다.

이 스캐너는 FTP, SSH, 텔넷(23, 2323 모두), HTTP, HTTPS, 마이크로소프트 SQL 서버, 에더넷/IP, 마이크로소프트 원격 데스크톱 프로토콜, 웹 프록시, 아파치 톰캣 SSL과 같은 포트들을 전부 검색, 분석한다. 이중 텔넷 2323 포트가 미라이의 공격을 빈번하게 받는 것으로 알려져 있다.

스캐너를 활용해서 이미 미라이에 의한 감염이 이뤄졌다는 사실이 발견되면 어떤 조치를 취해야 할까? 아이오티디펜스는 “아주 쉽다”고 말한다. “그냥 전원을 껐다가 다시 켜면 됩니다. 그러면 다시 정상으로 돌아와요.” 물론 그렇게 하기 전에 네트워크 상 미라이가 돌아다니지 못하도록 미리 조치를 취해야 한다.

하지만 가장 근본적으로는 기기의 제조사들이 미라이에 대한 방어책을 강구해야 한다. 사용자들에게 “당신이 산 기기니 이제 당신이 책임지도록”이라고 해봐야 아무도 듣지 않고, 실제 아무도 조치를 취하지 않는다. 아이오티디펜스의 CEO인 T 로이(T Roy)는 “기기에 자동 업데이트 기능을 탑재시켜야 하며, 기기마다 다른 암호들을 적용시켜야 한다”고 주장한다. “이미 라우터 제조사들은 이를 표준화시켰죠. 꼭 필요한 포트만 여는 관행도 정착시켜야 하고요.”

그렇다고 제조사들만 언제까지 들들 볶을 수 없는 노릇이다. 게다가 별 효과도 없다. “솔직히 제조사들에게 보안을 강조한다고 해서 그들이 보안에 신경 쓸 것 같지는 않습니다. 아직도 사업은 경쟁 구조 안에서 운영되고 있고, 새로운 기술을 더 빠르게 선보여 유리한 고지를 선점하는 게 기업들의 목표가 되고 있지요. 제조사들이 언젠가 스스로 보안을 강화시킬 것이다? 꿈 같은 소리입니다.”

분명히 사물인터넷이라는 생태계에는 사용자들이 존재하고, 그들에게도 그들만의 역할이 있다. 그러나 이 사용자라는 부류들은 어지간해서는 움직이지 않는다. 미라이 멀웨어를 알고 있고, 딘 공격 소식을 들었다 하더라도 그들은 멀뚱하다. 자신이 보유한 사물인터넷 기기가 봇넷이 되든, 누군가 디도스 공격을 받든, 기기가 고장나는 것도 아니고 자신이 피해를 보는 것도 아니기 때문이다.

“데이터 통신료가 치솟으면 그때서야 움직이는 게 사용자입니다. 사실 그래서 통신사들이 데이터료 부담을 소비자들에게 지우는 것이 보안의 한 방법이 될 수 있다고 생각합니다.” 그밖에는 미국의 국토안보부도 사물인터넷 보안에 대한 보다 엄격한 규칙을 만들고 있다. 사물인터넷을 통한 공격이 국방 및 안보에도 중대한 위협이 되고 있다는 걸 인지했다는 것이다.

보안 전문업체인 F5 네트웍스(F5 Networks)의 데이비드 홈즈(David Holmes)는 “국가가 법을 제정하는 것만이 사물인터넷 보안의 해결책”이라는 입장이다. 에프시큐어(F-Secure)의 CRO인 미코 히모넨(Mikko Hypponen)도 같은 의견이다. 하지만 그럼에도 사용자 인식 전환 및 제고는 필요한 작업이고, 그렇기에 이번에 발표된 무료 미라이 스캐팅 툴이 의미를 가진다고 설명한다. “이런 툴들을 한 번씩이라도 사용해보는 게 은근 큰 교육효과를 가지거든요.”

해당 툴은 여기서 사용이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>