‘아이오트룹’, 9월 말 나타난 뒤 한 달 새 100만 개 이상 조직 감염
무선 IP 카메라 기기 내 취약점 찾아... 알려진 취약점 패치 서둘러야

[보안뉴스 오다인 기자] ‘아이오트룹(IOTroop)’이라는 새로운 사물인터넷(IoT) 봇넷이 나타났다. 아이오트룹은 9월 말 발견된 이래 이미 100만 개가 넘는 조직을 감염시켰는데, 이를 발견한 보안 업체 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies, 이하 체크포인트)에 따르면 아이오트룹은 미라이(Mirai) 봇넷보다 빠르게 전파되고 있다.


아이오트룹의 멀웨어는 △GoAhead △D-Link △TP-Link △AVTECH △NETGEAR △MikroTik △Linksys △Synology 등의 무선 IP 카메라 기기에서 취약점을 찾는다. 체크포인트의 위협 첩보 그룹 매니저인 마야 호로비츠(Maya Horowitz)는 “이 멀웨어는 디폴트 크리덴셜만 이용해 기기를 해킹한다기보다 다양한 취약점을 함께 이용하기 때문에 미라이보다 빠르게 전파될 수 있다”고 설명했다.

아이오트룹은 기술적인 측면에서 미라이와 유사점이 있긴 하지만, 체크포인트는 아이오트룹이 완전히 새로운 봇넷으로 미라이보다 훨씬 더 정교한 공격 캠페인이라고 강조한다. 일례로, 호로비츠는 아이오트룹이 사물인터넷 기기를 감염시킨 뒤 다른 기기를 추가적으로 스캔해서 발견한 사실들을 명령 및 제어(C&C) 서버로 다시 보고한다고 말했다.

결과적으로 아이오트룹은 전파를 가속화한다. 아이오트룹은 사물인터넷 기기의 알려진 취약점을 패치하지 않은 사용자들을 노리면서, 인간의 상호작용 없이 멀웨어를 전파시킬 능력도 갖추고 있다. 즉, 사물인터넷 기기 자체적으로 전파시키면서 그 감염 속도도 가속화한다는 뜻이다.

체크포인트는 아이오트룹의 공격자나 그 의도에 대해서 추정하는 것은 아직까지 이르다고 지적했다. 다만, 공격에 당하지 않도록 적절한 방어 조치를 취하라고 기업에 권고했다. 미국과 호주 등 세계 전역에서 피해가 나타났으며, 피해 조직 수는 계속해서 증가하고 있다. 또한, 체크포인트는 지금의 이 시기가 폭풍전야와 같다며 사이버 허리케인이 곧 닥쳐올 것이라고 경고했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>