크리스마스에 ‘블랙햇 산타’가 선물 대신 놔두고 간 재앙
사토리 따라 해보려는 시도 다량으로 일어날 듯...화웨이는 패치 발표

[보안뉴스 문가용 기자] 보안 전문 업체 뉴스카이 시큐리티(NewSky Security)가 달갑지 않은 새해 선물이 해커들에게 전달됐다고 알려왔다. 뉴스카이의 표현을 빌자면 “블랙햇 산타의 크리스마스 선물”이라고 한다. 이 산타는 페이스트빈(Pastebin)이라는 코드 공유 사이트를 굴뚝 삼아 내려왔다.


선물은 다름 아닌 소스코드. 그것도 최근 화웨이 라우터에서 발견된 제로데이 취약점인 CVE-2017-17215를 공격할 수 있게 해주는 멀웨어의 소스코드였다. 그것도 최근 IoT 기기들로 봇넷을 만들어나가는 주범으로 보안 업계를 시끌시끌하게 만든 주범, 사토리(Satori)였다.

뉴스카이는 CVE-2017-17215 취약점에 대해 다음과 같이 설명한다. “화웨이 HG532 기기들에서 발견된 제로데이 취약점으로, 이스라엘의 보안 업체 체크포인트(Checkpoint)가 제일 처음 적발했습니다. 체크포인트는 이 취약점에 대한 정보를 화웨이 측에 알려 픽스를 요청했습니다. 개념증명을 위한 코드나 상세 보고 내용은 추가 범죄 예방을 위해 미공개 처리해왔습니다.”

그러나 비밀로 지켜지던 코드 내용이 페이스트빈을 통해 전부 공개되면서 아마추어 해커들까지도 봇넷 형성을 시도하는 일이 벌어질 것으로 예상된다. 봇넷은 디도스, 랜섬웨어 배포, 스팸 메일 발송 등 다양한 사이버 공격을 감행할 수 있게 해주는 ‘범죄 인프라’로, 암시장에서 대여 서비스로도 활용할 수 있어 사업성이 큰 아이템이다.

한편 12월 초에도 비슷한 사건이 있었다. 브리커봇(Brickerbot)이라는 봇넷 멀웨어의 소스코드 일부가 공개된 것이다. 뉴스카이는 이 코드도 가져와 분석했는데, 놀랍게도 CVE-2017-17215 취약점에 대한 익스플로잇이 포함되어 있음을 발견할 수 있었다. 즉 이 제로데이 취약점을 악용해 만들어진 봇넷이 사토리 외에 최소 하나가 더 있었다는 뜻으로, 뉴스카이는 “이미 해커들은 한참 전부터 이 취약점을 알고 있던 것 같다”고 풀이한다.

사토리는 사상 처음 등장했던 IoT 봇넷인 미라이(Mirai)의 변종으로 분류된다. 이 미라이 역시 소스코드가 해커들 사이에서 공유되는 바람에 여러 변종이 등장한 바 있다. 작년에 나타난 미라이 변종들의 특징은 단순 객체 접근 프로토콜(SOAP)을 남용한 것으로 분석된 바 있다. 특히 두 가지 SOAP 버그인 CVE-2014-8361과 TR-64가 주요한 역할을 했다. 브리커봇의 코드에도 SOAP와 관련된 요청이 등장한다.

뉴스카이는 “사물인터넷 기기들을 겨냥한 공격이 점점 흔해지고 있다”며 “이러한 상황에서 대형 익스플로잇이 무료로 공개되면, 비슷한 봇넷들이 형성되는 데에 많은 시간이 걸리지 않는다”고 경고한다. “많은 아마추어 해커들은 선배들이 했던 공격들을 따라 해보면서 기술을 습득합니다. 사토리 코드가 공유됐다는 건, 좋은 교과서가 생겼다는 것이죠.”

다행히 체크포인트의 경고를 받은 화웨이 측은 CVE-2017-17215에 대한 패치를 배포했다. 해당 패치는 여기(http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en)서 다운로드가 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>