• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

도이치텔레콤 고객 백만 명, 미라이에 당해 인터넷 마비 2016.11.30

미라이, 취약점 익스플로잇 하는 새로운 기능 추가해
사용자의 습관 문제에서 제조사 패치 문제로 넘어가

[보안뉴스 문가용 기자] 독일의 통신사인 도이치텔레콤(Deutsch Telekom)이 사이버 공격을 받아 인터넷 서비스가 마비되는 현상이 발생했다. 약 1백만 명의 고객들이 인터넷 사용에 어려움을 겪었고, 해당 디도스 공격에 미라이(Mirai) 멀웨어가 연루된 것으로 밝혀졌다.


도이치텔레콤 고객들이 불편을 느끼기 시작한 건 일요일부터였다. 문제는 해결되지 않은 채로 월요일 오전까지 이어졌다. 도이치텔레콤의 유선 고객들 2천만 명 중 약 90만 명이 불만사항을 접수시켰다. 이 수치는 도이치텔레콤이 직접 발표한 것이다. 여기에 인터넷 연결 불가로 보고하지 못했을 고객들까지 추정해 더하면 100만명 정도가 된다.

도이치텔레콤은 월요일 오전부터 피해 고객들에게 패치를 배포하기 시작했다. 또한 30초 동안 라우터 전원을 차단시킨 후 다시 한 번 재가동시키라고 권고하기도 했다. 업데이트가 자동으로 시작되지 않을 경우 수동으로 패치하는 방법까지도 알려줬다.

사물인터넷 기기들을 봇으로 만들어 거대한 봇넷을 형성하는 미라이 멀웨어는 지난 10월 처음 소스코드가 공개된 이후 딘(Dyn)이라는 미국의 DNS 업체를 공격하는 데에 활용되기도 했다. 미라이는 주로 ‘디폴트 암호’로 설정되어 있는 기기들을 노리는 것으로 알려졌는데, 이번 도이치텔레콤의 경우 그렇지 않은 것으로 나타났다.

대신 도이치텔레콤 고객들이 많이 사용하는 라우터 기기에 탑재되어 있는 관리 인터페이스의 특정 취약점을 노리고 공격한 것으로 나타났다. 공격의 목적은 당연히 라우터들을 감염시켜 봇넷에 포함시키려는 것이었다. 하지만 감염 자체는 실패한 것으로 나타났다. 인터넷 접속에 어려움을 겪은 건 공격을 받은 라우터들이 동작을 멈췄기 때문이다.

SANS 인스티튜트(SANS Institute)의 책임자인 요하네스 울리히(Johannes Ullrich)는 “여태까지 미라이는 디폴트 암호나 약한 암호들을 악용하는 것이 거의 전부였다”고 설명하며 “최근 미라이에 업데이트가 이뤄진 것으로 보인다”고 말했다. “웹 서비스의 취약점을 노리는 기능이 첨가되었다는 게 눈에 띄는 부분입니다.”

물론 이번에 추가된 것으로 보이는 익스플로잇이 기술적으로 매우 진보된 형태의 것은 아니다. “기능이 추가되었다는 것 자체가 중요한 것이 아닙니다. 약한 암호만 다시 설정하면 방어가 가능할 줄 알았던 미라이가 업그레이드 되었다는 게 더 무서운 부분입니다. 이번 도이치텔레콤 사건을 시작으로 우리는 앞으로 미라이의 무서운 잠재력을 목격하게 될 듯 합니다.”

여기에 보안 전문업체인 트랍와이어(Tripwire)의 크레이그 영(Craig Young)도 동의한다. “사용자나 제조사의 허술한 습관 중 하나인 약한 암호를 파고드는 것뿐 아니라 펌웨어 자체에 들어있는 취약점도 노릴 수 있게 되었다는 것이 무서운 부분입니다. 이번 공격의 경우 텔넷이나 SSH 관리 시스템이 노출되어 있다는 취약점을 노린 것으로 보입니다.”

이 부분이 왜 중요하냐면, “사용자가 신경을 한 번만 쓰면 되는 해결되는 문제가 사용자가 어떤 행동을 취해도 막기 힘든 문제로 변질되었기 때문”이라고 크레이그는 설명한다. “관리 인터페이스가 노출되었다는 건, 라우터 제조사나 펌웨어 제작사, 통신사가 해결해야 하는 것이죠. 미라이가 소비자 영역 밖으로 넘어가, 패치 싸움으로 옮겨갔습니다.”

SANS가 이번 도이치텔레콤 사건을 조사한 결과, 이번 미라이 공격은 아카딘(Acadyn)이라는 대만 브랜드 라우터가 집중 공격받은 것으로 밝혀졌다. “하지만 공격을 받은 취약점 자체는 다른 제조사들이 만든 라우터들에도 존재하는 것입니다. 쇼단(Shodan)이라는 인터넷 스캐닝 툴을 사용해 점검해봤을 때, 비슷한 취약점을 가진 기기들이 전 세계적으로 약 4천만 대 정도인 것으로 나타나거든요.”

울리히는 “이번 취약점 익스플로잇 기능 추가 덕분에 미라이 봇넷의 규모가 더 커졌을 것”이라고 경고했다. “개인적으로는 적어도 1~2백만 대의 기기가 추가되었을 것이라고 봅니다. 다음 미라이 피해자가 당할 디도스 공격 규모가 상당히 클 것이라고 예상할 수 있죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>