• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

IP 카메라의 위기 : 네 가지 멀웨어가 경쟁한다 2017.06.09

미라이 출현 이후 페르시라이, 디비알헬퍼 등 등장
미라이도 이미 업그레이드 버전 나타나...기기 주인은 피해 없어

[보안뉴스 문가용 기자] 사물인터넷을 공격하는 미라이(Mirai) 봇넷의 출현으로 사상 최대 규모의 디도스 공격이 일어난 것이 작년 말의 일이다. 그 미라이는 소스코드마저 공개되는 통에 미라이의 아류작들이 지금도 계속해서 등장하고 있다. 그 중 하나가 페르시라이(Persirai)다. 보안 업체 트렌드 마이크로(Trend Micro)에 따르면 IP 카메라들 사이에선 페르시라이가 미라이를 이미 앞섰다고 한다.

[이미지 = iclickart]


페르시라이는 현존하는 여타 사물인터넷 멀웨어와 마찬가지로 IP 카메라의 UPnP 포트를 타고 기기를 감염시킨다. IP 카메라에 안착 성공하면 C&C 서버와의 통신 채널을 개설하고, 디도스 공격에 사용될 소프트웨어를 다운로드 받는다. “IP 카메라는 사물인터넷 기기인 줄 인지하지 못하고 사용하는 사물인터넷 기기의 대표적인 예입니다. 즉, 잠재적인 공격 벡터인 것입니다.” 트렌드 마이크로의 부회장인 마크 누니코벤(Mark Nunnikhoven)의 설명이다. “사물인터넷 기기에는 기존 PC나 모바일 기기에 담겨 있던 중요한 정보가 있을 수도 있지만 대역폭이라는 또 다른 자원이 있죠.”

페르시라이가 가지고 있는 흥미로운 기능 중 하나는 다른 IP 카메라들까지도 감염시킨다는 것이다. 이때 페르시라이 멀웨어가 악용하는 취약점은 세 가지로, 한 개는 공격자들이 인증과정을 우회해 관리자 권한으로 접속할 수 있도록 해주는 것이며, 다른 하나는 원격 코드 실행을 가능하게 해주는 것이라고 한다. 마지막 취약점은 공격자가 또 다른 멀웨어를 기기에 설치할 수 있도록 해주는 취약점이다.

사물인터넷 취약점 검색엔진 쇼단(Shodan)으로 조사해본 결과 이미 전 세계 12만 대의 IP 카메라가 페르시라이에 당할 가능성이 높은 것으로 나타났다. 게다가 페르시라이의 새로운 경쟁자들도 출현하고 있기 때문에 피해는 계속해서 확산될 것으로 보인다. 페르시라이의 유력한 경쟁상대는 다름 아닌 미라이로, 최근 활동 중인 버전은 새로운 포트 스캐닝 트로이목마와 연계돼 확장력이 이전 버전에 비교해 크게 개선되었다고 한다.

또 다른 경쟁상대로는 디비알헬퍼(DvrHelper)가 있다. 역시 미라이에서 파생된 멀웨어로 디도스 공격 모듈이 오리지널 미라이보다 8배까지 많다. 또한 안티디도스 기능을 우회하는 기능까지 탑재되어 있다. 더문(TheMoon)이라는 멀웨어도 있다. 역시 IP 카메라들을 주로 노리는 것으로, 2014년부터 사물인터넷 기기 주변을 기웃거려왔다. 현재까지 발견된 사물인터넷 멀웨어 중 가장 오래됐다.

이 멀웨어들을 특별히 ‘경쟁상대’로 표현하는 건, 이 네 가지 모두에서 ‘경쟁자 견제’ 기능이 발견되었기 때문이다. 하지만 트렌드 마이크로가 미국, 일본, 한국, 대만 등에서 추적한 3650대 IP 카메라들 중 64%에서 페르시라이가 발견돼, 아직은 페르시라이가 압도적인 우위를 점하고 있는 게 확실하다. 2위는 미라이로 전체의 약 28%를 차지했고, 디알비헬퍼와 더문은 각각 7%와 1%를 차지했다.

이러한 멀웨어들로 인해 만들어진 봇넷들은 주로 특정 표적을 디도스 공격으로 타격하기 위한 기능을 가지고 있다. 미라이 봇넷은 이미 2016년에 1초에 1 테라바이트가 넘는 트래픽을 유발할 수 있음을 드러냈다. 위에 언급된 네 가지 멀웨어 역시 비슷한 기능을 가지고 있을 것이라고 트렌드 마이크로는 얘기한다. “중요한 건 이런 공격에 활용되는 기기들에는 별 이상이 없다는 겁니다. 기기 주인들로서는 전혀 불편하거나 이상할 게 없어요. 공격자들에게 IP 카메라란 그저 대역폭 자원일 뿐인 것입니다.”

트렌드 마이크로는 “제조사들이 기본적인 보안 장치들만 해줘도 위 네 가지 멀웨어의 공격을 막는 게 가능하다”고 설명한다. “디폴트 비밀번호를 어렵게 하거나 삭제해 사용자가 설정하도록 만들고, 원격에서 접근할 수 있는 기능 자체를 없애면 됩니다. 또한 업데이트가 용이하게 되도록 설계해 나중에 문제가 발생했을 때 조치를 취할 수 있도록 해야 합니다. 지금 감염된 카메라들은 사실 버리는 게 최선의 해결방법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>