| 미라이 아닌 또 다른 사물인터넷 디도스 봇넷 발견 | 2016.12.29 |
리트 봇넷, 사물인터넷의 시스템 파일 섞은 페이로드 활용
공격의 크기는 이미 미라이급...난독화까지 탑재되어 있어  650 Gbps의 디도스 공격이라면 규모가 상당한 수준이긴 하지만, 그렇다고 기록을 갱신할 정도는 아니다. 이번에 발견된 디도스 공격이 특이한 건 최근 디도스 공격자들 사이에서 크게 유행 중인 미라이(Mirai) 봇넷과 전혀 상관이 없기 때문이다. 임퍼바에 따르면 이번 공격에 사용된 건 리트(Leet)라는 이름의 봇넷이라고 한다. 순수 공격 용량으로만 보면 미라이 봇넷은 이미 650 Gbps를 아득히 넘어섰다. 이미 가을에 보안 블로그인 KrebsOnSecurity.com에 620 Gbps의 공격을 성공시켰고, 프랑스의 호스팅 업체인 OVH에 990 Gbps의 공격과 10월에 들어서는 DNS 제공업체인 딘(Dyn)에 1.2 Tbps의 공격을 감행한 바 있기 때문이다. 미라이가 이렇게 어마어마한 공격을 할 수 있는 건 취약하기 짝이 없는 사물인터넷 기기들을 다량으로 동원하기 때문이다. 대부분은 CCTV 카메라 및 DVR 기기들이었다. 임퍼바는 이번 리트 봇넷 공격에 동원된 사물인터넷 기기들의 IP 주소들이 스푸핑되었기 때문에 어떤 종류의 사물인터넷 기기들이 실제로 사용되었는지 추적하기가 불가능하다고 말한다. 그저 미라이와 다른 종류의 봇넷이 공격의 배후에 있다는 것 정도만 알아내는 게 거의 다였다고 덧붙이기도 했다. “2016년 발견되었던 디도스 공격 중 트래픽량이 굉장히 많은 것들은 모두 미라이와 관계가 있었습니다. 하지만 이번 공격에 동원된 페이로드를 분석했을 때 미라이나 미라이 변종과의 유사점은 하나도 찾을 수가 없었습니다.” 이번 발견 및 보고서 작성에 참여한 아비샤이 자우즈닉(Avishay Zawoznik)과 디마 베커만(Dima Bekerman)의 설명이다. 물론 리트 봇넷 공격이나 미라이 공격이나 크고 작은 SYN 패킷을 섞어 사용해 유무선 네트워크 통로들을 트래픽으로 꽉 차게 하고 네트워크 스위치를 다운시킨다는 커다란 목적 자체는 동일하다. “작은 패킷은 패킷 비율을 초당 1억 5천만(Mpps)으로 올리는 데에 활용되고, 큰 패킷은 전체 공격 용량을 높이는 데에 사용됩니다.” 리트라는 이름은 TCP 옵션 헤더에서 발견한 ‘1337’이란 시그니처 때문에 붙었다(영미권에서 1337은 leet의 장난스러운 표기법이다). 임퍼바의 분석가들은 이중 용량이 큰 패킷에 주목했다. “큰 패킷들은 조각난 IP 주소들로 꽉꽉 채워져 있었습니다. 리트가 기기를 감염시키고 나서 로컬 파일들에 접근했다는 걸 보여주는 것이죠. 즉, 디도스 공격에 사용되는 트래픽의 페이로드가 로컬 파일들로부터 발생했다는 걸 알 수 있었습니다.” 결국 리트 봇넷 공격은 수십만에서 수백만대의 기기들의 시스템 파일들을 뒤죽박죽으로 섞은 것으로 구성된다는 것이다. “이렇게 했을 때의 장점은 난독화가 자연스럽게 이루어진다는 겁니다. 또한 페이로드가 랜덤화 되고, 용량의 한계 같은 것도 존재하지 않습니다. 시그니처를 기반으로 한 보안 솔루션은 가볍게 비껴갈 수 있기도 하고요.” 미라이만 해도 이미 묵직한 존재감을 가지고 있는데, 난독화까지 갖춘 대형 디도스용 봇넷이 새롭게 등장했다. 2017년 우리는 무엇을 볼 것인가? 디도스를 막는 새로운 기술 및 장비의 등장과 사물인터넷의 강력한 보안이 절실히 필요해 보인다. Copyrighted 2015. UBM-Tech. 117153:0515BC [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
