| CCTV가 해킹 범죄에 연루되었다? | 2016.10.28 | ||||||||||||||||||||||||
그것도 한두 대가 아니라 2만 5,000여 대가!
[시큐리티월드 문가용 기자] 최초 한국형 좀비 영화인 ‘부산행’을 보러 가는 사람들이 하나둘 늘고 있다. 그런데 이보다 조금 전인 지난 6월, 보안 및 안전 산업에도 최초의 수식어가 붙은 좀비 관련 사건이 발생했다. 전 세계 CCTV 2만 5,000대가 좀비가 되어 버린 것이다. 세상에 둘도 없는 좀비가 두 달 연달아 등장하니, 여름은 여름인가보다.
지난 6월 27일, 보안 전문업체인 수쿠리(Sucuri)에서 전 세계 2만 5,000여 대의 CCTV들을 활용한 대규모 봇넷을 발견했다고 자사 블로그를 통해 밝혔다. 봇넷(botnet)이란, 봇 혹은 좀비 컴퓨터를 묶어 놓은 네트워크를 말하고, 봇 혹은 좀비 컴퓨터란 해커에게 장악을 당해 사실상 해커의 공격 플랫폼으로 악용되고 있는 시스템을 말한다. 통상 PC가 봇으로 주로 활용되고 있는데, 이번 사건에서처럼 오로지 CCTV로만 구성된 봇넷이 발견된 예는 지금까지 없었다. 해커들이 봇넷을 공격에 사용하는 이유는 여러 가지지만 현재까지 가장 주요한 건 1) 디도스 공격처럼 트래픽을 대량으로 발생시켜 한 곳으로 집중시키려면 시스템이 여러 대 필요하고, 2) 수사기관이 추적할 때 자신의 정체를 숨기기 쉽기 때문이다. 여기까지 읽었으면 눈치 챘겠지만, 해커가 봇넷을 만들어 공격을 하는 모든 과정에 인터넷 연결이 필수적이다. 이게 없으면 아무 것도 할 수가 없다. 그렇기 때문에 여태까지는 거의 모든 봇넷이 PC로만 구성되었던 것이다. 하지만 이제 인터넷 되는 게 PC만이 아니다. 모바일 기기들도 있고, 사물인터넷으로 인터넷과는 상관없어 보이는 일반 가전제품들도 인터넷과의 연결성을 자랑하고 있다. 해커로서는 PC만 사용할 필요가 없어진 것. 그리고 그것이 이번 CCTV 봇넷 사건으로 증명된 것이다. 무슨 일 일어났나? 다음은 수쿠리의 블로그 내용을 참조해 작성했다. 수쿠리는 자신들의 고객사 중 하나인 보석상의 웹 사이트에 가해졌던 디도스 공격을 조사하다가 해당 봇넷을 발견했다고 블로그를 통해 설명했다. “분석 결과 레이어 7 공격 혹은 HTTP 플러딩 공격이었습니다. 초당 3만 5,000건의 HTTP 요청을 생성하는 것이었죠.” 그래서 수쿠리는 보석상 웹 사이트의 DNS를 수쿠리 네트워크로 바꿔 문제를 해결했다. “보통의 디도스 공격이었으면 이걸로 사건 해결이었겠죠.” 하지만 사이트가 정상 복구된 후 공격은 다시 시작되었고, 심지어 더 거세졌다. 초당 5만 건의 HTTP 요청이 생성되기 시작한 것. 이 공격은 며칠 동안 지속되었다. “이렇게 장기간에 걸친 디도스 공격은 흔치 않은 거라, 저희도 본격적으로 수사에 나섰습니다. 그리고 놀랍게도 사물인터넷 CCTV 기기들만으로 구성된 봇넷을 발견할 수 있었습니다.” 사물인터넷 기기를 활용한 봇넷 형성 및 디도스 공격이 그리 놀라운 건 아니다. “하지만 순수하게 CCTV 기기들만으로 구성된 봇넷도 처음 보는 것이고, 그런 봇넷이 이렇게 볼륨이 큰 공격을 장기간 지속할 수 있다는 것도 새로웠습니다.” 게다가 IP의 위치를 추적해보니 전 세계 곳곳에서부터 공격이 들어오고 있었다. “한두 시간 만에 25,513개의 고유한 IP 주소에서부터 디도스 트래픽이 들어오더군요.”
지역별, 제조사별 결과 지역별로 분석한 결과 대만이 24%로 1위, 미국이 12%, 인도네시아 9%, 멕시코 8%, 말레이시아 6%, 이스라엘 5%, 이탈리아 5%, 베트남 2%, 프랑스 2%, 스페인 2%로 나타났다. “이 10개국 외에도 약 95개의 국가가 더 있습니다.” 해당 IP 주소들을 전부 분석했더니 한 가지 공통점이 나왔다. 크로스 웹 서버(Cross Web Server)를 사용하고 있었고, 각각의 디폴트 HTTP 페이지가 ‘DVR Components’라는 비슷한 타이틀을 갖고 있었다. “거기서부터 혹시 CCTV가 개입된 게 아닐까 하는 의심을 하기 시작했습니다.” 그리고 더 파봤더니 회사 로고들이 등장하기 시작했다. CCTV 리셀러 및 생산업체들이었다. H.264 DVR(46%), ProvisionISR(8%), QSEE(5%), Questek(5%), TechnoMate(5%) 등이었다. 또 주목해야 할 건 IPv6를 사용하는 CCTV 기기들도 이번 봇넷에서 발견됐다는 것이다. “아직 IPv6를 통한 디도스 공격이 매우 드문 때입니다. 하지만 이번에 발견한 봇넷의 경우 전체 공격의 약 5%가 IPv6를 통해 이루어졌습니다. 언젠가 IPv6가 더 대중화되면 이런 일이 벌어질 걸 예상하고는 있었지만 이렇게 빨리 발견될 줄은 몰랐습니다.” 수쿠리의 보안 전문가들은 이는 단순히 CCTV만의 문제가 아니라고 경고한다. “CCTV 카메라 2만여 대가 봇넷을 만드는 데에 활용되었다는 건 빙산의 일각에 불과하다고 생각합니다. 저희가 개입해서 이번에 발견한 네트워크를 폐쇄한다고 쳐봅시다. 그리고 각 제조사가 패치도 발표해 해당 CCTV들을 전부 교정하기도 했고요. 해커 입장에선 해야 할 일이 간단합니다. 더 약한 기기들을 찾기만 하면 되죠. 그리고 그런 기기들이 세상엔 훨씬 더 많아요. 아니, 오히려 보안이 강력한 사물인터넷 기기를 찾기가 더 힘들죠.” CCTV 카메라 벤더나 생산자, 온라인 카메라 사용자가 자신들의 제품 및 네트워크를 보호하기 위해서 할 수 있는 일은 그다지 많지 않다고 수쿠리는 안타깝게 결론 부분을 써내려갔다. “최신 패치를 적용하고 인터넷에서 분리시켜서 보관하십시오. 이는 단지 카메라나 CCTV에만 해당하는 얘기가 아닙니다. 인터넷과 연결이 가능한 모든 기기를 이런 식으로 보관해야 합니다.” [글 시큐리티월드 문가용 기자(sw@infothe.com)] [월간 시큐리티월드 2016년 8월호 통권 235호(sw@infothe.com)] <저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지> |
|||||||||||||||||||||||||
 |
