IoT 기기 1,700대 크리덴셜, 6월부터 페이스트빈에 올라와
추가적인 피해 막으려면 사용할 때만 원격 접근 활성화해둬야

[보안뉴스 오다인 기자] 사물인터넷(IoT) 기기 약 1,700대의 로그인 크리덴셜이 파일 공유 사이트 페이스트빈(Pastebin)에 유출됐다. 현재 해당 페이지는 삭제됐으나 수개월 전부터 노출돼있었다는 사실이 드러나 추가적인 피해가 불가피할 것으로 보인다.


해외 기술 전문 매체 아스테크니카(Ars Technica)에 따르면, 페이스트빈에 사물인터넷 기기의 로그인 크리덴셜이 처음 올라온 것은 지난 6월이었다. 6월부터 해당 페이지는 지속적으로 업데이트 됐는데, 페이지가 삭제되기 전까지 8,233개의 고유한 IP 주소에 대한 사용자명과 비밀번호가 공개됐던 것으로 나타났다.

인터넷 보안을 위한 비영리단체 GDI 재단의 빅터 게버스(Victor Gevers) 이사장은 크리덴셜이 유출된 IP 주소 8,233개 중 2,174개는 아직까지 텔넷 서버를 열어두고 있는 것으로 확인됐다고 아스테크니카에 말했다. 활성화된 텔넷 서버 중 1,774개는 유출된 크리덴셜을 통해 여전히 접근할 수 있는 것으로 나타났다.

또한, IP 주소 8,233개는 단 144개의 사용자명-비밀번호 쌍으로 이뤄져 있었다고 아스테크니카는 지적했다. 그만큼 디폴트 크리덴셜이나 외우기 쉬운 크리덴셜이 보편적으로 사용된다는 뜻이다. IoT 기기의 보안 취약성을 더욱 우려케 하는 대목이다.

사이버 범죄자는 유출된 크리덴셜을 이용해 방대한 IoT 기기를 멀웨어로 감염시키고 추후 디도스 공격의 플랫폼을 구축한 것으로 보인다.

IoT 기기의 보안이 위험하다는 분석은 이미 수없이 나온 상황이지만 그럼에도 이런 유출이 상황을 더 악화시킨다고 전문가들은 경고했다. 계정 침해 여부를 확인하는 사이트 해브 아이 빈 폰드(Have I Been Pwned)의 보안 연구자 트로이 헌트(Troy Hunt)는 “지나가던 개도 이런 크리덴셜을 손에 넣을 수 있다”고 말했다. 그만큼 IP 주소를 빼돌리기가 쉽다는 뜻이다.

아스테크니카는 게버스 이사장과 GDI 재단이 이번 유출 사건의 피해자들에게 가능한 한 많이 연락해 기기 보안을 단속하라고 권고하는 중이라고 말했다.

아스테크니카는 집에 라우터, 카메라, IoT 기기가 있다면 사용할 때만 원격 접근을 활성화해둘 것, 그런 기기들의 디폴트 크리덴셜을 반드시 변경한 뒤에 사용할 것, 12자 이상의 고유한 비밀번호를 사용할 것을 권고했다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>