| 페르시라이, IP 카메라 취약점 노린 새로운 봇넷 | 2017.05.10 |
IP 카메라 약 12만 대 공격에 취약한 것으로 드러나
IoT 기기 노린 미라이와 유사... 페르시라이는 제로데이 취약점 통해 공격 C&C 서버에 이란 국가 코드, 멀웨어엔 페르시아어 있어 의혹 [보안뉴스 오다인 기자] 사이버 보안 솔루션 업체 트렌드마이크로(Trend Micro)가 새로운 봇넷을 발견했다고 발표했다. 지난해 말 악몽 같은 디도스 공격을 감행했던 미라이(Mirai)처럼 사물인터넷 기기만으로 구성된 봇넷이라고 한다. 그중에서도 특히 12만 대에 달하는 IP 카메라가 위기에 처해있다는 내용이다.  ⓒ iclickart 일명 ‘페르시라이(Persirai)’라 불리는 이 봇넷은 1천 종이 넘는 IP 카메라 모델을 겨냥하고 있는 것으로 나타났다. 2016년 10월 미라이 봇넷이 등장해, 디지털 비디오 레코더(DVR)와 CCTV 카메라를 통해 대규모 디도스 공격을 가한 바 있다. 미라이 봇넷처럼 페르시라이 또한 IoT 기기를 공격 대상으로 한다는 점에서 자칫 대규모 디도스 공격이 발생할 가능성이 있다. 본 사건의 연구진은 페르시라이를 발견하기 전, 네 개의 C&C 서버를 발견했고 이와 관련된 취약점을 찾던 와중에 페르시라이를 발견하게 됐다고 트렌드마이크로의 위협 커뮤니케이션 글로벌 이사 존 클레이(Jon Clay)는 밝혔다. 분석을 진행하다보니 이 봇넷이 오로지 IP 카메라로만 구성되었다는 사실도 알아냈다. 여기서부터 어떤 카메라들이 페르시라이 공격에 잘 걸려드는가 분석을 이어갔다. 대부분의 IP 카메라는 가전제품을 홈 네트워크에 접속시키는 유니버설 플러그 앤 플레이(UPnP: Universal Plug and Play)의 오픈 네트워크 프로토콜을 사용하는데, 바로 이 같은 사실 때문에 해당 카메라들이 IoT 멀웨어의 손쉬운 먹잇감이 되었다는 걸 알아냈다. 그러면서 검색 엔진인 쇼단(Shodan)을 사용해 공공 인터넷 상에 존재하는 12만 대 이상의 기기가 위험에 노출돼있다는 걸 파악했다. “이런 오픈 네트워크 프로토콜은 해당 기기가 라우터에 포트를 개방하고 서버로서 기능하게 만들기 때문입니다.” 아직 미라이와 페르시라이 사이의 연관성이 발견되지는 않았다. 미라이와 페르시라이의 가장 큰 차이점은, 미라이가 크리덴셜을 훔치기 위해 디폴트 비밀번호를 지속적, 반복적으로 대입하는 방식으로 로그인을 시도하는 반면 페르시라이는 수개월 전 공개된 바 있는 제로데이 취약점을 악용한다는 점이다. 본 취약점을 이용하는 공격자들은 사용자의 비밀번호 파일을 확보할 수 있고 기기 접근도 가능하게 된다. 공격자가 피해 카메라에 접속하면, 공격자는 해당 카메라를 다른 컴퓨터 상에 사용자 데이터그램 프로토콜(UDP: User Datagram Protocol) 범람을 일으키는 디도스 공격을 펼치는 데 사용할 수 있다고 트렌드마이크로는 자사 블로그에서 설명했다. 위협 개체들은 공격자가 디도스를 시도하려는 곳의 포트에 IP 주소를 제공할 수 있고, 전 세계 어떤 IP도 겨냥할 수 있는 것으로 알려졌다. 침해된 카메라는 또한 다른 공격 대상, 즉 비슷한 상태의 카메라를 찾는 데 사용될 수도 있다. 동일한 제로데이 취약점을 가진 대상을 찾는다는 것이고, 발견 즉시 공격자들은 비밀번호 파일을 훔치고 명령어 삽입, 악성코드의 번식 등을 시작하고 지속할 수 있게 된다. 연구진은 침해된 IP 카메라가 이란 국가 코드(.IR)를 사용하는 C&C 서버와 통신한 것을 확인했으며 이란 연구기관에 의해 관리되고 있다는 것을 파악했다. 연구진은 또 멀웨어 제작자가 특정한 페르시아어를 사용한 사실도 발견했다. 하지만 이런 사실이 공격자가 꼭 이란 사람이라는 걸 말해주는 증거는 아니라는 점에 주의해야 할 것이다. 페르시라이가 제로데이 취약점을 사용한 것은 앞으로도 지속적인 위협으로 작용할 것임을 의미한다고 클레이는 경고한다. 흥미롭게도 본 멀웨어는 공격 대상인 기기가 일단 감염되면 스스로 삭제한 다음 메모리에서만 작동하게 설계돼있으며, 바로 이런 점 때문에 멀웨어가 일단 진행되고 나면 코드 탐지가 어려워지게 된다. “이번 공격의 배후에 있는 자들은 앞으로도 계속 취약점을 찾아나갈 것이며, 이와 유사한 취약점이 있는 다른 IoT 기기들 또한 탐색할 것입니다.” 클레이는 설명했다. 페르시라이 공격자들이 앞으로 IoT 기기를 중심으로 더 크고, 또 별도로 구성된 봇넷을 만들어 공격을 이어갈 것이라는 예측이다. 미라이는 대규모 디도스 공격을 일으키기 위해 많은 기기가 필요하지 않다는 점을 보여줬다고 클레이는 말을 이었다. 10만 대 이상의 IP 카메라가 취약한 지금 그 위험은 훨씬 더 높다고 볼 수 있다. 클레이는 잠재적 피해자들을 떠올리며 “페르시라이 봇넷 기기들은 다른 조직 및 사람을 대상으로 디도스 공격을 일으킬 가능성이 높다”고 말했다. “부지불식간에 범죄자의 장단에 놀아나게 될지 모릅니다.” 만약 IP 카메라를 사용하고 있다면 최신 보안 패치로 지속적으로 업데이트 할 것과 더불어 마구 시도되는 공격에 대비하기 위해 보안성 높은 비밀번호를 설정할 것이 권고된다. 대부분의 사용자는 자신의 IP 카메라가 온라인에 노출돼있다는 사실도 모를뿐더러 디폴트 비밀번호도 바꾸지 않는다고 연구진은 지적했다. 게다가 그 중 다수가 자신의 IP 카메라가 디도스 공격을 실행하고 있다는 사실조차 모르고 있었다고 강조했다. 제조업자들은 기기 보안을 강화하기 위해 비밀번호를 넘어 생체인증 및 이중인증을 등을 사용하는 등 로그인 절차를 개선하기 위해 노력해야 한다고 클레이는 말했다. [국제부 오다인 기자(boan2@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
