• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미라이 봇넷과 디도스, 4년 전부터 알고 있었다 2016.12.12

4년 전 등장한 인터넷 센서스라는 보고서, 이미 IoT 공격해
디돗, PC에서 사물인터넷 기기로 옮겨 오니 방어가 불가능

[보안뉴스 문가용 기자] 정보보안에 대해 잘 모르는 사람들이 쉽게 간과하는 것 한 가지는, 인터넷이 참 불안정한 환경이라는 것이다. 인터넷은 지구를 둘러싸고 있는 생태계와 흡사한 면이 많다. 둘 다 보호받아야만 하는 자원들이 있고, 이 자원들은 전체 생태계를 위해서 효율적으로 사용되어야 한다. 생태계의 균형이 깨지는 순간 나쁜 일들이 일어나기 시작한다는 점도 비슷하다.

이 ‘나쁜 일들’ 중 하나가 바로 최근에 있었던 미라이(Mirai) 봇넷 공격이다. 미라이 봇넷은 사물인터넷 기기들의 취약점(디폴트 암호)을 통해 기기 통제권을 장악한 다음, 다량의 트래픽을 발생시켜 주요 웹 서비스들을 마비시켰다. 사물인터넷의 기능성과 보안성의 균형이 깨지면서 일어난 대재앙이었다. 문제는 이 재앙이 다가오는 걸 우리는 진작부터 알고 있었다는 것이다.

한 보고서의 등장
2012년, 스스로를 보안 전문가라고 주장하는 익명의 인물들이 등장해 보고서를 세상에 툭 던져놓았다. 세계 인터넷을 스캐닝한 결과 보고서로, 현재까지 나온 동종의 보고서 중 가장 광범위하고 통합적인 내용을 담고 있는 것으로 알려져 있다. 2012년 인터넷 센서스(2012 Internet Census)라고 불리며, 당시 인터넷 공간에서 무슨 일이 벌어지는지를 상세하게 묘사하고 있다.

하지만 이 익명의 연구원들은 이 보고서를 작성하기 위해 가정용 라우터들을 다수 하이재킹 해서 멀웨어를 심는 방식으로 인터넷을 스캐닝했다. 이 때 디폴트 암호 취약점이 상당 수 악용된 것으로 밝혀지기도 했다. 물론 순수 연구를 위한 목적으로 이 같은 일들을 행했다고 주장했지만, 그 주장이 사실인지 아닌지 정확히 확인된 바는 없다.

그러니 우리는 알고 있었다
여기서 중요한 건 그 익명의 연구원들이 정말로 순수하게 연구만 했느냐 아니냐가 아니다. 라우터와 같은 사물인터넷 기기의 디폴트 암호를 통해 누군가 드나들고 통제할 수 있다는 사실을 이미 2012년부터 알고 있었다는 것이다. 여기에 더해 ‘사물인터넷’이란 기술이 점점 우리의 삶 속으로 깊이 파고들고 있다는 것 또한 우리는 알고 있었다. 이미 그 때부터 우리는 허가 없이 각종 라우터들을 장악해 인터넷을 면밀히 조사할 수 있었다는 것이다. 또, 디폴트 암호와 같은 취약점을 통하여 해커가 기기를 장악했다 해도 사용자나 제조사에게는 아무런 해가 가지 않는다는 이상한 구조 역시 우리는 알고 있었다.

기존의 봇넷들이 PC들을 노리고 있었다면 바야흐로 사물인터넷 봇넷의 시대가 되었는데, 이 둘의 가장 큰 차이는 우리의 방어력에 있다. 사물인터넷 봇넷에 대해 우리는 사실 방어 능력을 갖추고 있지 못하다. 가장 큰 이유는 인터넷의 기본 구조 때문이다. 이번에 미라이 봇넷을 통해 대규모 디도스 공격을 받은 브라이언 크렙스(Brian Krebs) 기자는 최근 인터넷 제공업체와의 인연을 끊어야만 했다. 인터넷 제공업체가 그 정도 규모의 디도스 공격을 막을 능력이 안 됐기 때문에 스스로 브라이언 크렙스라는 굵은 고객을 포기한 것이다. 사물인터넷 디도스 공격의 온전한 방어가 불가능하다는 게 드러나는 사건이다.

그러면 앞으로는 어떻게 하나?
일단 가만히 있으면 공격이 반복될 것은 뻔하다. 불가능하다고 했지만, 그래도 뭔가 조치를 취해야 한다. 먼저 사물인터넷 제조사들은 지금 시중에 있는 제품들을 전부 리콜하거나 취약점 패치를 배포하기 시작해야 한다. 이는 업체로서 중대한 결단이기도 하고, 책임감 있는 행동이긴 하지만, 그렇다고 모든 사용자에게 리콜 및 패치 메시지가 전달되지는 않을 것이다. 즉, 대단한 결심을 한 것에 비해 결과가 미비할 수 있다는 뜻이다.

혹은 각 나라의 법 제정 기관들이 전부 모여 같은 표준과 정책을 만들어 사물인터넷을 전 지구적으로 관리하는 것도 한 방법일 수 있다. 진지하게 하는 말이다. 다만, 이 방법은 이미 시장에 나와 있는 기존 제품들에 대해서는 효과를 보기 힘들다. 그래도 사물인터넷 기기가 소비품인 만큼 사용자들이 새로운 기기의 출시와 함께 기존 기기를 얼마든지 바꿀 수 있어, 옛적의 취약한 기기가 시장에 오래오래 살아남는 일은 드물 것이라고 본다.

또 다른 방법도 있다. 애플, 아마존, 구글이 모여 함께 사물인터넷 기기 제조사들이 지켜야 할 표준을 정하는 것이다. 이 세 기업은 현재 사물인터넷 생태계에서 가장 큰 영향력을 자랑한다. 즉 이 셋이 사물인터넷 기기의 보안 표준을 높여 버리면, 시장에 곧바로 반영이 되고, 생산자들이 무시할 수 없게 된다는 것이다. 아마 이들의 영향력 덕분에 업그레이드 주기도 더 짧아질 수 있을 것이라 본다.

세계 혹은 지역의 정부들이 모여 일종의 버그바운티를 운영할 수도 있다. 취약한 기기 및 브랜드, 혹은 모델명을 제보했을 때 상금을 주는 것이다. 한 번에 세계의 국가들이 모여서 진행하기 힘들다면, 지엽적으로 시도해보는 것도 한 방법이 될 수 있다.

글 : 밥 루디(Bob Rudis), 데럴 헤일랜드(Deral Heiland)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>