• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새로운 사물인터넷 봇넷 토리, 미라이와 전혀 달라 2018.10.01

디도스 공격을 하거나 암호화폐 채굴 하려는 의도 보이지 않아
정보만 수집되고 있어...궁극적인 목적과 피해 규모는 더 파악해야

[보안뉴스 문가용 기자] 매우 위험하고, 파괴적일 수 있는 사물인터넷 멀웨어가 발견됐다. 사물인터넷 멀웨어라고 하면 대부분 미라이(Mirai)의 변종일 때가 많은데, 이번 것은 그렇지 않다고 한다.

[이미지 = iclickart]


이 멀웨어의 이름은 토리(Torii)로, 보안 업체 어베스트(Avast)의 전문가들은 최근 토리의 샘플을 구해 분석했다. 토리는 텔넷 공격으로 증식하는데, 이 공격이 토르(Tor)의 출구 노드들로부터 들어오기 때문이다.

토리의 코드는 유명한 사물인터넷 봇넷 멀웨어인 미라이와 유사성이 거의 없다. 또한 미라이보다 더 은밀하며, 침해에 성공한 기기에 보다 오래 머무른다. 어베스트에 의하면 사물인터넷을 노리는 멀웨어들 중 가장 많은 장비들과 아키텍처들을 공격하도록 설계되어 있다고 한다. 토리가 잘 작동하는 장비들은 x86, x64, 파워PC(PowerPC), MIPS, ARM 등을 기반으로 하고 있다.

재미있는 건 토리의 사용 목적이다. 미라이는 처음 등장했을 때 디도스를 가장 큰 목적으로 한 봇넷임을 세상에 크게 떠벌리며 나타났다. 그보다 최근 등장한 봇넷들은 주로 암호화폐 채굴을 목적으로 한 것이었다. 토리는 둘 다 아니다. 오히려 사물인터넷 장비들에 저장된 데이터를 훔치는 데 최적화 된 모습을 보여준다. 또한 모듈 구조를 가지고 있어, 유연한 변신이 가능하다.

어베스트의 보안 전문가인 마틴 흐론(Martin Hron)은 “굳이 비교하자면, 토리는 약 50만 대의 네트워크 스토리지 장비와 라우터들을 감염시킨 VPN필터(VPNFilter) 멀웨어와 닮았다”고 말한다. VPN필터는 지난 5월 발견된 것으로, 우크라이나에서 특히 많은 감염률을 보이고 있으며, 주로 라우터 및 네트워크 스토리지 장비를 공격했다.

그러나 토리는 다른 사물인터넷 멀웨어와 여러 가지 면에서 차이를 보인다. “일단 기기 내에서 쫓겨나거나 삭제되지 않기 위해 최소 여섯 가지 방법을 사용합니다. 게다가 모듈 구조로 되어 있다는 것도 큰 차이입니다. 먼저는 C&C 서버와의 연결을 위한 페이로드를 드롭시키고, 추가 명령이나 파일이 올 때까지 기다리기만 합니다.” 어베스트가 분석한 샘플의 C&C 서버는 애리조나에 있는 것으로 나타났다.

토리는 다수의 아키텍처를 지원하는데, 이 때문에 열린 텔넷을 포함하고 있는 시스템은 거의 모두 감염시킬 수 있다. 즉 수천만 개의 사물인터넷 장비가 토리라는 위험에 노출되어 있다는 뜻이 된다. 게다가 공격자들은 텔넷 외에도 다른 감염 경로를 보유하고 있는 것으로 보인다. “다만 텔넷 외의 방법은 아직 실제로 사용된 바가 없습니다.”

토리는 아직 디도스 공격 같은 것을 하지 않았다. 하지만 감염시킨 시스템에 대한 정보는 꽤나 많이 C&C 서버로 전송했다. “호스트 이름, 프로세스 ID 외에도 기계 관련 정보, 디지털 지문 등 공격자들이 기기를 구체적으로 식별할 수 있게 해주는 여러 정보들을 보냅니다.” 하지만 아직까지 정보 수집의 궁극적인 목적에 대해서는 파악할 수 없었다.

중요한 건 어베스트의 전문가들이 조사 과정 중에 여태까지 한 번도 사용되지 않은 바이너리를 추가로 발견했다는 것이다. 이는 토리가 배포되고 있던 서버에서 발견된 것으로, 공격자들이 임의의 명령을 실행할 수 있도록 해주는 기능을 가지고 있었다. 고(GO)라는 언어로 만들어져 있었는데, 이는 컴파일링을 통해 거의 모든 종류의 기기에서 사용될 수 있다는 뜻이 된다.

흐론은 “아직 토리 제작자의 의도가 무엇인지 잘 모르겠다”고 말한다. “하지만 멀웨어가 배포되고 있던 서버의 유연성 등을 봤을 때, 또 다른 공격자들을 위한 백도어 서비스 용도이거나 엄청난 양의 기기들을 한꺼번에 활용한 공격을 펼치기 위한 것으로 보입니다.”

어베스트의 분석에 의하면 현재까지 토리를 다운로드 한 장비들은 약 600여개인 것으로 보인다. 하지만 이는 어베스트가 조사한 기간 동안에만 봇넷에 새롭게 등록된 기기들의 수일 수도 있다. 정확한 피해 규모 역시 아직 좀 더 조사해야 한다고 흐론은 밝혔다.

3줄 요약
1. 미라이와 전혀 닮지 않은, 위협적인 사물인터넷 봇넷 등장.
2. 디도스도 아니고 암호화폐 채굴도 아니고...도대체 목적은 무엇일까?
3. 아직까지는 C&C 서버로 기계에 대한 정보만 전송하는 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>