• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

다시 나타난 미라이 봇넷, 이번엔 금융권 노려 2018.04.06

보안 장치 없이 만들어지고 배포되는 사물인터넷, 미래의 위협
금융권 연속적으로 당해...“앞으로도 계속해서 이어질 것”

[보안뉴스 문가용 기자] 사이버 범죄자들은 목수와 같아서 쓸 만한 도구를 손에 쥐면 사용하고 싶어 안달이 난다. 이걸 알면 몇 년 전 나타난 미라이(Mirai)라는 봇넷이 자꾸만 활용되는 이유가 충분히 이해간다. 최근 미라이가 다시 한 번 활동을 벌였다. 이번에는 금융권이 표적이었다.

[이미지 = iclickart]


보안 업체 레코디드 퓨처(Recorded Future) 내 위협 분석 전문 부서인 인식트 그룹(Insikt Group)은 지난 1월 금융 산업 내 일부 조직들을 공격한 미라이의 새 변종을 발견했다. 게다가 아직 확실하진 않지만 아이오트룹(IoTroop) 혹은 리퍼(Reaper)로 알려진 봇넷도 여기에 가담한 것으로 보인다.

일은 다음과 같은 순서로 벌어졌다.
1) 1월 28일 세 개의 금융 기업들이 디도스 공격을 받았다.
2) 그 중 두 곳은 동시에 공격을 받았다. 몇 시간 후에 나머지 한 곳에 공격이 일어났다.
3) 1월 29일 네덜란드의 은행인 ABN Amro에서 디도스 공격이 발생했다.
4) 1월 30일 다른 네덜란드의 은행들도 디도스 공격에 당했다.
5) 이 중 한 곳에는 DNS 증폭 공격 기법이 동원됐고, 30 Gbps를 기록했다.

전문가들에 의하면 최초의 미라이 공격은 마이크로틱(MikroTik) 라우터 80%와 그 외 기타 사물인터넷 기기 20%로 구성되었다고 한다. 웹 서버와 웹캠, DVR, 스마트 TV 등이 이 20%에 들어간다. 이름도 없는 제조사에서 만든 기기들도 있지만 시스코나 링크시스 등 유명 업체가 만든 제품들도 이 공격에 휘말려 들어갔다.

딜로이트의 사이버 위협 부문 회장인 어판 사이프(Irfan Saif)는 외신과의 인터뷰를 통해 “악성 봇넷들이 노리는 사물인터넷 기기들은 데이터 프로세싱, 통신, 네트워킹 기능을 가지고 있는 것들”이라고 지적한 바 있다. “그런데 그러한 기능들이 사물인터넷 기기들의 핵심이라고 볼 수 있습니다. 그러므로 미라이와 같은 사물인터넷 봇넷은 미래에도 계속해서 문제가 될 것입니다.”

인식트 그룹의 분석가들도 이에 동의하며 “이번에 발견된 미라이 봇넷 공격에는 이전 미라이 봇넷 공격에 동원되지 않았던 기기들도 많이 발견됐다”고 밝히기도 했다. 사물인터넷을 활용한 봇넷들의 공격이 계속해서 확장하고 있다는 뜻이다.
사이프는 기업들이 자체 네트워크 내에서 사물인터넷의 수를 증가시킴에 따라 방어자로서의 관리는 힘들어지고 공격자들로서의 공격 옵션과 경로는 풍부해지고 있다고도 설명했다. “시간이 흐를수록 오래된 기기와 펌웨어가 혼재하는 모양새를 가질 것이며, 이는 보안에 있어서 적신호가 켜지는 것과 다름이 없습니다.”

딜로이트가 최근 발표한 보고서에 따르면 보안 전문가들의 40%가 “데이터와 사물인터넷 기기를 지키는 것의 난이도가 높아지고 있다”는 의견을 가지고 있다. 또한 이들은 “가까운 미래에 사이버 보안은 가장 큰 위험에 직면하게 될 것”이라고 예상하고 있다.

하지만 문제가 나아질 기미는 전혀 없는 것이 현실이다. 사이프는 “사물인터넷 장비 대부분 보안 장치나 도구가 전혀 없이 만들어지고 배포되고 있기 때문”이라고 설명한다. “취약한 소프트웨어를 너도 나도 사용하고 있는 것과 같아요. 게다가 사물인터넷 보안 전문가도 턱없이 부족한 상황이죠. 사물인터넷 보안에 있어서 미래는 암울하기만 합니다.”

그렇다고 손 놓고 있을 수는 없는 문제. 인식트 그룹은 다음과 같은 방법들을 제안한다. “적어도 우리 회사가 보유한 사물인터넷 기기들이 봇넷에 편입되지 않게 하기 위해서는 다음과 같은 방법을 취하면 됩니다.”
1) 기기의 디폴트 비밀번호들은 즉시 교체한다.
2) 기기 펌웨어는 항상 최신 버전으로 유지한다.
3) IP 카메라나 그와 비슷한 기기의 경우(즉 원격 접근을 해야 하는 기기의 경우), VPN을 사용한다.
4) 텔넷 등 필요치 않은 서비스는 비활성화시킨다. 또한 불필요한 포트도 닫는다.

딜로이트 또한 사물인터넷과 관련된 보안 조치 사항에 대해 다음과 같은 권고 사항을 함께 발표했다.
1) 보안에 대한 접근법을 처음부터 다시 생각한다. 사물인터넷을 도입하는 건 사업성 혹은 생산성을 위한 것인데, 보안과 사업성의 상관관계에서부터 개념을 다시 쌓는 것이 좋다.
2) 자동화 기술을 활용한다. 사물인터넷과 모바일까지 참여한 네트워크의 확장성과 속도, 가변성은 사람의 힘만으로 대응하는 것이 힘들다.
3) 디지털 아이덴티티를 활용해 크리덴셜을 관리한다. 이 때 크리덴셜 확인 및 인증 과정의 편의성도 고려해야 한다. 쉬워야 활성화가 되기 때문이다.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>