4월 22일부터 5월 10일 사이 무섭게 증가...남아공 라우터들 비상
자동화 기술로 봇넷 확대하는 공격자들, 남아공만의 문제 아니야

[보안뉴스 문가용 기자] 새로운 멀웨어 캠페인이 발견됐다. 이 캠페인의 목적은 더 크고 강력한 봇넷을 구축하는 것으로 보인다. 공격은 아프리카 대륙에서 파생해, 아프리카 대륙에서 피해가 일어나고 있다고 한다.


보안 업체 넷스카웃(NetScout)에 따르면 “IoT 허니팟들을 통해 지난 4월 22일부터 5월 10일 사이에 익스플로잇 시도가 5,043% 증가했다는 걸 포착했다”고 한다. 공격이 시작된 곳은 대부분 이집트였고, 공격 대상들은 남아프리카공화국의 일반 소비자용 라우터들이었다.

공격에 동원된 페이로드는 더 많은 라우터들을 봇넷에 편입시키는 기능을 가지고 있는 하카이(Hakai) 디도스 봇의 변종이었다. 익스플로잇이 되는 취약점은 CVE-2014-8361로, 리얼텍(Realtek) SDK에서 발견된 ‘원격 명령 실행 취약점’의 일종이다.

넷스카웃의 위협 연구 관리자인 리치 험멜(Rich Hummel)에 의하면 “일반 소비자용 라우터들은 좀처럼 패치되거나 업데이트 되지 않는다”며 “소비자들은 라우터도 패치해야 하고 업데이트가 적용되어야 한다는 걸 대부분 모른다”고 말한다. “심지어 라우터에 관리 인터페이스가 존재한다는 것도 모르는 경우가 대부분입니다.”

하지만 안타까운 건 현존하는 대부분의 가정용 라우터들도 관리와 꾸준한 업데이트가 분명히 필요하다는 것이다. “라우터들은 구매한 사람이나 관리 책임을 맡은 사람이 보호해야 하는 것이 맞습니다. 그저 몰랐다고 하기에는, 라우터를 활용한 봇넷 구성이 너무나 만연하게 일어나고 있죠.” 험멜의 설명이다.

이집트가 왜 갑자기 남아공 소비자들을 대규모로 공격한 것일까? 이에 대해 험멜은 “이집트 해커들과 남아공 소비자들 사이의 어떤 지정학적 관계가 공격 동기로 작용했을 가능성은 낮아 보인다”고 추측한다. “공격자들이 새로운 봇넷을 확장시키고자 한 것이 가장 주요한 동기일 것입니다.”

험멜은 “기회주의적인 공격일 가능성이 높아 보인다”고 정리한다. 즉 특정 국가나 지역의 소비자들을 특정해서 노린 것이 아니라 무작위로 공격을 했다가 걸린 사람들을 연쇄적으로 엮어내는 중이라는 것이다. “인터넷에 노출된 장비를 쇼단에서 검색하는 스크립트만 써도 이런 식의 공격 패턴이 나타날 수 있습니다.”

험멜은 “최근 공격자들은 자동화 기술을 사용해 봇넷을 확장하기 시작했다”며 “취약한 장비를 검색하고, 거기에 공격 스크립트를 주입시키고, 봇넷에 편입시키는 일련의 행위가 자동화로 고효율로 이어질 수 있다”고 설명한다. “이 자동화 기술의 등장 때문에 누구나 라즈베리 파이(Raspberry Pi)만 있어도 봇넷을 만들 수 있게 됐습니다.”

3줄 요약
1. 이집트의 해커들, 대규모로 남아공 소비자 라우터를 공격하기 시작.
2. 지정학적 이유는 잘 모르겠지만, 봇넷을 확대하기 위한 것임은 분명한 듯.
3. 요즘 해커들, 자동화 기술 사용해 편리하게 봇넷을 만들기 시작함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>