• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

향상된 하이드 앤 시크, 시스템 껐다 켜도 남아있어 2018.05.10

1월에 처음 등장한 사물인터넷 봇넷, 빠른 성장세 보여
아직 이렇다 할 공격 기능은 없어...인프라 구축에 집중된 듯

[보안뉴스 문가용 기자] 하이드 앤 시크(Hide ┖N Seek)라는 사물인터넷 봇넷이 업그레이드 됐다고 보안 업체 비트디펜더(Bitdefender)가 발표했다. 하이드 앤 시크는 1월에 처음 등장한 것으로, 최근에 성능이 훨씬 좋아져서 나타났다.

[이미지 = iclickart]


그 최신 버전은 4월 말 경에 발견된 것으로, 표적으로 삼을 수 있는 취약점과 기기의 종류가 훨씬 늘어났다고 한다. “열 가지 아키텍처와 다양한 기기 모델들을 공략하는 게 가능해졌습니다.” 하이드 앤 시크의 새 변종은 최근까지 9만 여대의 고유한 기기들을 감염시켰고, 그러므로 공격을 개시할 경우 크나큰 위협으로 변모할 수 있다.

또 눈에 띄는 건 ‘공격 지속성’을 위한 기능이 추가됐다는 것이다. “1월만 해도 지속(persistence) 모듈이 없었어요. 기기를 껐다가 다시 켜면 공격이 무효화될 수밖에 없었던 것입니다. 이제는 사용자가 기기를 리부트시켜도 공격이 남아있을 수 있게 되었습니다. 한 번 텔넷을 통해 감염에 성공하면, 멀웨어가 스스로를 etc/init.d/에 복제하고 스타트업 메뉴에 추가합니다. 그래서 OS가 새로 시작될 때마다 자기도 시동이 걸릴 수 있게 해두었습니다.”

하이드 앤 시크는 웹 기반 취약점들도 어뷰징 하는데, 이는 IPTV 카메라와 같은 기기들을 특별히 노리고 도입된 기능으로 보인다. 클라우드를 기반으로 한 Wansview NCS601W IP 카메라의 취약점을 노리는 기능과 AVTECH IP 카메라, NVR, DVR 등 다양한 모델들이 하이드 앤 시크의 레이더 안에 들어간다.

“하지만 오직 텔넷을 통해 감염이 성공한 경우에만 지속 모듈이 발동된다”고 비트디벤더의 수석 분석가 보그단 보테자투(Bogdan Botezatu)가 설명한다. 즉 위에서처럼 다양한 기기들을 공략하는 데 성공하더라도, 텔넷을 통한 감염이 아니라면 리부트에 취약하다는 뜻이다.

한편 하이드 앤 시크 봇은 10개의 바이너리들을 포함하고 있다. 다양한 플랫폼을 공략하기 위해서인데, x86, x64, ARM(리틀 엔디언, 빅 엔디언), 슈퍼에이치(SuperH), PPC 등이 여기에 포함된다.

사물인터넷 봇넷이라고 한다면 미라이(Mirai)가 가장 유명한데, 미라이는 사물인터넷 기기들의 디폴트 크리덴셜을 대입함으로써 침투에 성공했었다. 하이드 앤 시크에서도 비슷한 기능이 발견됐다고 한다. 보테자투는 “하이드 앤 시크가 사물인터넷 기기들에서 흔히 볼 수 있는 크리덴셜 목록을 가지고 있고, 이를 하나하나 대입한다”고 밝혔다.

“그 목록이 엄청나게 깁니다. 다양한 카메라와 라우터들에 대입 가능한 것으로 보입니다. 무엇보다 텔넷을 겨냥해 이 긴 크리덴셜을 전부 시험해보는 것으로 분석됐는데, 이것은 지속적인 공격의 발판을 마련하기 위한 것이 분명합니다. 이런 공격 패턴과 열 가지 플랫폼과 호환되는 바이너리들을 마련했다는 걸 보면, 공격자가 최대한 많은 기기를 봇넷에 포함시키고자 애썼음을 알 수 있습니다.” 그래서 보테자투는 “모든 벤더들에게 이와 같은 사실을 알렸다”고 한다.

지난 3개월 동안 하이드 앤 시크 봇넷은 꾸준한 성장세를 보여 왔다. 특히 2월부터 5월까지의 기간 동안에만 6만 5천여 대의 기기를 감염시키는 데 성공했다고 비트디펜더는 설명한다. 공격자들은 이렇게 좀비 컴퓨터들을 많이 만들어 어쩌려는 것일까? 보테자투는 “신기하게도 보통 봇넷으로 많이들 하는 디도스 공격 관련 기능은 하나도 발견된 바가 없다”고 말한다.

“현재까지 수집된 자료만을 바탕으로 보자면, 아직 이 봇넷은 ‘성장 중’에 있는 것으로 보입니다. 즉, 뭔가 뚜렷한 쓰임새나 목적을 가지기 전 단계에 있다는 것이죠. 공격자나 운영자가 현재는 인프라 마련에 집중하고 있는 것 같습니다. 충분한 규모로 자라면, 그 때 실제 공격이 있을 것 같습니다.”

지역적으로 보면 현재 하이드 앤 시크 봇넷에 소속된 컴퓨터가 가장 많은 나라는 중국이다. 그 다음은 순서대로 러시아, 브라질, 미국, 이탈리아라고 한다. “이 다섯 나라가 상위 그룹입니다. 그 다음은 인디아, 폴란드, 불가리아, 프랑스, 대한민국 순입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>