ARC 프로세서를 겨냥한 최초의 사이버 공격
사례도 없고 탐지율도 낮아 당분간 미라이 봇넷 공격 증가할 것

[보안뉴스 문가용 기자] 미라이(Mirai)의 새로운 변종이 발견됐다. 이름은 오키루(Okiru)라고 하며 ARC(Argonaut RISC Core) 프로세서가 탑재된 사물인터넷 기기들을 통해 퍼지는 중이라고 한다. 이전에 발견된 미라이의 또 다른 변종인 사토리(Satori)와는 또 다른 멀웨어이며 둘 사이에 분명한 차이점들이 존재한다고 분석가들은 설명한다.


ARC 프로세서는 프랑스의 제조 업체인 ARC 인터네셔널(ARC International)이 처음 설계한 32비트 CPU이며 가정용 기기에서부터 모바일, 자동차에 들어가는 시스템온칩(SOC)에 널리 사용된다. 매해 ARC 프로세서를 탑재한 기기가 15억 대 가량 출하된다고 한다. 이러한 ARC 프로세서만을 노리는 멀웨어로서는 오키루가 최초다.

오키루 봇넷을 처음 발견한 건 malwaremustdie.org라는 사이트를 운영하며 독립적으로 활동하고 있는 보안 전문가 @unixfreaxjp이다. 2016년 8월 최초로 미라이를 발견한 것도 이 사람이다. @unixfreaxjp에 따르면 “여태껏 공개된 미라이 버전은 전부 디도스 공격을 목표로 하고 있긴 하지만, 자세히 살펴보면 큰 차이를 가지고 있다”고 한다.

차이점이 가장 도드라지게 나타나는 부분은 바로 환경설정이다. 오키루의 경우 환경설정이 두 부분으로 나눠져 암호화되어 있는데 반해 사토리는 나눠져 있지도 않을뿐더러 비밀번호의 브루트포스 공격에 대한 방어 조치도 되어 있지 않다. 또한 오키루는 텔넷 공격에 114개의 크리덴셜을 사용할 수 있도록 만들어졌지만 사토리는 그 수가 훨씬 적다. 둘이 보유하고 있는 크리덴셜이 겹치지도 않는다.

@unixfreaxjp는 “오키루에는 TSource Engine Query라는 것이 없는 것으로 보인다”고 지적하기도 한다. 이는 무작위 UDP를 통한 서비스 거부 공격(DRDoS)에 흔히 활용되는 것으로, 사토리에는 이 기능이 있었다. “감염에 성공한 후 곧바로 처리되는 명령어도 다르고, 감시 장치를 통한 기능 발휘 역시 다릅니다.”

오키루에는 네 가지 종류의 라우터 공격 익스플로잇 코드가 하드코드된 채 내재되어 있다. 하지만 그 어떤 것도 사토리에서는 발견된 바가 없다. 반면 사토리에는 ELF 트로이목마의 다운로더가 발견되기도 했는데, 이는 오키루에서 발견되지 않은 것이었다.

바이러스토탈(VirusTotal)에 의하면 오키루는 탐지율이 높은 편이 아니다. 게다가 여태껏 한 번도 공격받아본 적이 없는 기기들을 노리는 것이므로 당분간 별 다른 방해 없이 퍼져갈 것으로 보인다. 이는 곧 미라이 감염의 증가로 이어질 것으로 예상된다.

한편 오키루를 통제하고 있는 공격자들은 보안 커뮤니티 및 관련 정부 기관의 움직임을 예의 주시하고 있는 것으로 보인다. 유럽의 정보 및 네트워크 보호 기구인 ENISA의 보안 전문가 피에르루이지 파가니니(Pierluigi Paganini)가 오키루에 대한 글을 작성해 올리자, 수분 만에 ENISA 웹사이트는 디도스 공격을 받기 시작했다. 공격은 한 시간 가까이 이어졌다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>