사일렉스라는 새로운 멀웨어 등장...IoT 장비들을 사실상 벽돌로 만들어
14세 소년이라고 주장한 제작자, “다른 멀웨어의 감염으로부터 보호하려고”

[보안뉴스 문가용 기자] 사물인터넷 장비들을 사용 불능 상태로 만드는 새로운 멀웨어를 보안 업체 아카마이(Akamai)가 발견했다. 아카마이의 전문가들은 이 멀웨어에 사일렉스봇(Silexbot)이라는 이름을 붙였다.


현재까지 알려진 바, 사일렉스봇은 스스로 “유럽의 14세 소년”이라고 주장하는 한 인물이 만든 것으로 보인다. 사일렉스봇의 제작 목적은 “다른 사물인터넷용 멀웨어들이 불안전한 사물인터넷 장비들을 감염하지 못하게 하는 것”이라고 한다. 즉 멀웨어를 막으려고 장비 자체를 아예 못쓰게 만든다는 것이다.

사일렉스봇은 지난 주에 처음 발견된 ‘따끈따끈한’ 멀웨어이지만, 이미 개발이 완전 중단된 것으로 보인다. 즉 더 이상의 유지 보수 및 업그레이드가 없을 가능성이 높다는 것이다. 이는 제작자도 예상치 못한 속도로 빠르게 멀웨어가 발견됐고, 또 많은 관심을 끌었기 때문인 것으로 보인다.

사일렉스봇은 사물인터넷 장비들 사이에 널리 사용되는 ‘디폴트 크리덴셜’을 공략하는 방식으로 감염을 확대시켜 나아간다. 그런 후 현존하는 모든 디스크 파티션 정보를 수집하고, /dev/random이라는 곳에서부터 무작위로 데이터를 가져다가, 모든 디스크에 쓰기 시작한다.

“주로 fdisk라는 명령어를 사용해 파티션 정보를 모으지만, fdisk가 안 통할 경우를 위한 다른 방법을 가지고 있을 수 있습니다. 다만 아직 그 대체 가능한 방법을 찾아내지는 못했습니다.” 아카마이의 보안 전문가 래리 캐시돌라(Larry Cashdollar)의 설명이다.

“바이너리 내에는 /proc/mounts로부터 마운트 된 파일 시스템을 읽을 수 있게 해주는 명령어들이 존재합니다. 그리고 mtd_write라는 명령어를 사용해 디스크에 작성하기도 합니다. 다만 이런 명령어들이 실제로 발동했다는 명확한 증거를 찾아내지는 못했습니다.”

디스크 읽기와 쓰기가 다 끝난 후에 사일렉스봇은 네트워크 환경설정 사항들을 삭제하고, iptable들을 깨끗하게 청소한다. 그러면서 모든 연결들을 끊어버리는 새로운 규칙을 추가한다. 여기에다가 rm -rf라는 명령어를 사용해 위 과정을 통해 삭제하지 못한 나머지 파일들도 전부 삭제한다. 이로써 장비는 기능을 멈추게 된다.

“뿐만 아니라 디스크 실린더, 헤드, 섹터를 전부 1롤 맞춰놓음으로써 파티션 테이블도 전부 망가트리려고 합니다.” 다행히 멈춘 장비가 복구 불가능한 건 아니다. 펌웨어를 다시 설치하거나 복구시키면 장비의 기능도 다시 살아날 가능성이 높다고 아카마이는 설명했다.

현재까지 발견된 사일렉스봇 샘플들은 유닉스 계열, ARM 기반의 장비들을 노리는 것으로 나타났다. 특히 디폴트 로그인 크리덴셜을 보유하고 있는 장비들이 첫 번째 표적이다. “그런데 조사 중에 배시 셸(Bash shell)로 된 멀웨어 버전도 발견했습니다. 즉 유닉스 만이 아니라, 유닉스와 비슷한 다른 OS들도 충분히 노릴 수 있다는 뜻입니다.”

아직까지 사일렉스봇의 제작 의도는 명확하게 밝혀지지 않고 있다. 제작자라고 주장한 14세 유럽 소년은 “다른 멀웨어의 감염을 막기 위해서”라고 했지만, 마냥 신뢰할 만한 답은 아니다. 일각에서는 어떤 사건에 대한 일종의 보복의 일환으로 이 같은 일을 벌인 것 아니냐는 추측이 나오고 있다.

한편 사일렉스봇 제작자와 이야기를 나눴던 보안 전문가 안킷 아눕하브(Ankit Anubhav)는 “사일렉스봇이 너무 큰 관심을 받자 소년은 블랙햇 커뮤니티 자체를 떠나기로 결정을 내렸다”는 트윗을 남기기도 했다.

3줄 요약
1. 사물인터넷 장비를 마비시키는 새로운 멀웨어, 사일렉스봇 발견됨.
2. 파티션 테이블, ip테이블, 각종 환경설정 사항을 삭제하고 연결까지 끊어 기능 불능 상태로 만듦.
3. 제작자가 밝힌 사일렉스봇의 사용처는 ‘타 IoT 멀웨어의 감염을 막는 것.’
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>