2016.10.28

토픽 브리핑 | "올 것이 오고야 말았다" 사물인터넷 보안 위협의 원인과 대책

이대영 기자 | ITWorld
"사물인터넷 기기가 우리를 공격하는 시대가 오고야 말았다"

지난 9월 말, 브라이언 크렙스 보안 사이트를 공격한 620Gbps 규모의 디도스 공격이나 이후 프랑스 서버 호스팅 업체 OVH를 공격한 799Gbps 규모의 공격은 사물인터넷(Internet of Things, IoT) 공격의 시작에 불과했다.

IoT DDoS 공격, 해커 체포에 대한 보복 의심…1.5Tbps 규모 공격도 발생
사물인터넷 봇넷, 역대 최대 규모 DDoS 공격으로 파괴력 실증
ITWorld 용어풀이 | 디도스 공격

특히 이 공격에 사용된 미라이(Mirai) 악성코드의 저작자가 소스코드가 공개하면서 보안전문가들은 더 많은 IoT 봇넷이 생겨날 것을 우려했다. 2015년 리눅스 시스템용 DDoS 봇인 리저드스트레서(LizardStresser)가 공개된 이후, 올해 6월 기준으로 이를 기반으로 한 악성코드를 사용한 봇넷이 100개를 넘는 것으로 파악된 전력이 있기 때문이다.

사물인터넷 악성코드 '미라이' 소스코드 공개…관련 봇넷 확산 우려
"더 큰 놈들이 온다"...전문가들, DDoS 공격 증가 전망

실제 인터넷 백본 제공업체 레벨3커뮤니케이션(Level 3 Communications)에 따르면, 10월 1일 미라이 악성코드 소스코드를 공개하기 전까지 21만 3,000개였던 감염된 IoT 기기의 총 개수가 49만 3,000개에 다다랐다. 해커들은 새로운 변종 악성코드를 개발하고 있다. 레벨3는 미라이 활동으로 형성된 4개의 추가적인 C&C 서버를 확인했다.

미라이 소스코드를 이용한 IoT 봇넷 확산, 감염된 IoT 기기 49만 3,000개로 증가

확산은 너무 빨랐고 대처는 너무 늦었다. 지난 21일 아침(미국 시각), 딘(Dyn)이라 부르는 DNS 서비스 제공업체를 대상으로 한 디도스 공격으로 인해 아마존, 엣시, 깃허브, 트위터, 뉴욕타임스 등 1,200개 이상의 도메인 사용자가 서비스를 하지 못했다. 이 공격은 미국 전역으로 확대되어 마치 대규모 인터넷 중단 사태가 일어난 것처럼 보였다.

Dyn을 침몰시킨 DDoS 공격의 전개 방법…서브도메인 공격이 결정타
IoT 봇넷으로 이뤄진 수천 만대 대규모 디도스 공격, 21일 미국을 덮치다

하지만 이는 인터넷이 중단된 것이 아니라 공격받은 대상이 DNS를 서비스하는 딘이라는 업체 특성상의 문제였다. DNS 서버는 인간의 언어로 된 URL을 기계가 읽을 수 있는 IP 주소로 바꿔주는 역할을 한다. 이를 통해 인터넷 통신은 드넓은 인터넷 상에서 정확한 사이트로 전달된다. 공격자는 수많은 인기 웹사이트에 DNS 서비스를 제공하는 서버를 공격 대상으로 골랐다. 딘 서버가 공격받는 동안 전 세계의 수천 개 인터넷 도메인에 대한 액세스에 영향을 미친 것이다. 이들 사이트에 접속하려고 한 사용자에게는 인터넷 전체가 먹통이 된 것처럼 보일 수 있었던 것이다.

“인터넷 붕괴?” Dyn DDos 공격에 대해 알아야 할 것과 해야 할 것

사실 보안전문가들이 IoT 보안에 대한 우려를 나타낸 것은 IoT 기기가 도입되기 전부터였다. 으례 그렇듯이 대형 보안사고가 터지기 전까지 보안전문가들의 경고는 양치기 소년의 외침에 불과했다.

사물인터넷, '살인' 무기로 악용될 가능성 높아
전문가들이 말하는 IoT의 두 얼굴, '일자리, 보안, 인프라'
뒤죽박죽인 IoT 보안, 누구의 책임인가
FBI마저, IoT 보안을 우려하다
"2016년 주목해야 할" DDoS 보안의 4가지 트렌드
글로벌 칼럼 | 다가오는 IoT 보안 재앙
시만텍, IoT 기기 통한 디도스 공격 증가 주의 당부
"디도스 공격 조직화, 대형화, 복합적으로 변화"...씨디네트웍스, 2016년 상반기 공격 분석 보고서
“2016년 전세계 IoT 보안 지출 지난해 비교 23.7% 증가할 것”...가트너

딘을 대상으로 한 디도스 공격이 발생한 이후, 항저우 시옹마이 테크놀로지는 자사 인터넷 카메라 제품 430만 대를 미국 시장에서 리콜하기로 결정했지만 사실 이는 한발 늦은 대책이었다.

“DDoS에 이용된 인터넷 카메라 리콜” 중국 항저우 시옹마이

상황은 더 나빠지고 있다. IoT 기기는 치명적인 보안 문제를 안고 있으며, 더 큰 문제는 이를 근원적으로 해결할 방법이 요원하다는 점이다. 증가일로에 있는 IoT 기기의 대다수는 기본적인 보안 허점, 즉 인터넷에 노출된 원격 관리 인터페이스를 사용하고 절대로 교체하지 않는 취약한 인증으로 보호되고 있다. IoT 보안이 우려스러운 이유는 다음과 같이 정리된다.

- 일반적으로 IoT 기기는 항상 인터넷에 연결되어 있다.
- 많은 IoT 기기가 기본 비밀번호로만 보호되는 관리 포트를 노출하고 있다.
- 기기에는 백신 등의 보안 소프트웨어가 없다.
- 공격자들은 소셜 엔지니어링, 이메일 감염, 값비싼 제로데이(Zero Day) 공격을 할 필요가 없다.
- 보안 지식이 없는 일반 고객과 소기업들은 스스로 기기를 보호해야 한다.


미라이 IoT 봇넷에서 활용한 61가지 비밀번호
글로벌 칼럼 | 인터넷이 망가져도 아무것도 할 수 없는 이유

가전제품의 자유로운 사용을 허용하는 어떤 국가도 보안 테스트를 의무화하지 않는다. 거의 모든 국가가 신호 방출에 대한 규정을 두고 있고 대부분의 제조업체가 자발적으로 글로벌 안전 과학 회사인 UL(Underwriters Laboratories)과 함께 전기 테스트를 수행하는 것과 대비된다. 미국 연방통상위원회(FTC)는 업계에 대책을 촉구했지만 강제할 만한 힘은 없다. 그래서 IoT 기기에 대한 보안 문제가 근원적으로 해결되기까지는 오랜 시간이 걸릴 것으로 보인다. 기업이나 사용자들이 스스로를 지키는 방법은 다음과 같다.

기업의 IoT 보안 대책
- IoT 보안을 과소평가하지 않는다.
- 스마트 기기의 구매 및 도입 시, IT와 운영 부문이 커뮤니케이션 해야한다.
- 스마트 기기의 소프트웨어 업데이트를 계속 추적한다.
- 최종 사용자에게 보안 위험을 교육한다.
- IT 담당자들에게 IoT의 의미를 교육한다.

일반 사용자의 IoT 보안 대책
- 필요한 디바이스만 연결한다.
- 네트워크를 분리한다.
- 좋은 비밀번호를 선택하고, 디바이스마다 다른 비밀번호를 이용한다.
- UPnP(Universal Plug and Play)를 끈다.
- 항상 최신 펌웨어를 설치한다.
- 클라우드 서비스를 주의한다.
- 개인 기기를 직장에 가져가지 않는다.
- 기기를 추적 관리, 평가한다. editor@itworld.co.kr

글로벌 칼럼 | IoT 보안, 기업의 구매 프로세스도 바꾼다
사물인터넷 보안 위협에 대처하는 5가지 방법
안전한 IoT 디바이스를 위한 8가지 보안 팁
자신의 IoT 기기 안전을 지키는 법

2016.10.28

토픽 브리핑 | "올 것이 오고야 말았다" 사물인터넷 보안 위협의 원인과 대책

이대영 기자 | ITWorld
"사물인터넷 기기가 우리를 공격하는 시대가 오고야 말았다"

지난 9월 말, 브라이언 크렙스 보안 사이트를 공격한 620Gbps 규모의 디도스 공격이나 이후 프랑스 서버 호스팅 업체 OVH를 공격한 799Gbps 규모의 공격은 사물인터넷(Internet of Things, IoT) 공격의 시작에 불과했다.

IoT DDoS 공격, 해커 체포에 대한 보복 의심…1.5Tbps 규모 공격도 발생
사물인터넷 봇넷, 역대 최대 규모 DDoS 공격으로 파괴력 실증
ITWorld 용어풀이 | 디도스 공격

특히 이 공격에 사용된 미라이(Mirai) 악성코드의 저작자가 소스코드가 공개하면서 보안전문가들은 더 많은 IoT 봇넷이 생겨날 것을 우려했다. 2015년 리눅스 시스템용 DDoS 봇인 리저드스트레서(LizardStresser)가 공개된 이후, 올해 6월 기준으로 이를 기반으로 한 악성코드를 사용한 봇넷이 100개를 넘는 것으로 파악된 전력이 있기 때문이다.

사물인터넷 악성코드 '미라이' 소스코드 공개…관련 봇넷 확산 우려
"더 큰 놈들이 온다"...전문가들, DDoS 공격 증가 전망

실제 인터넷 백본 제공업체 레벨3커뮤니케이션(Level 3 Communications)에 따르면, 10월 1일 미라이 악성코드 소스코드를 공개하기 전까지 21만 3,000개였던 감염된 IoT 기기의 총 개수가 49만 3,000개에 다다랐다. 해커들은 새로운 변종 악성코드를 개발하고 있다. 레벨3는 미라이 활동으로 형성된 4개의 추가적인 C&C 서버를 확인했다.

미라이 소스코드를 이용한 IoT 봇넷 확산, 감염된 IoT 기기 49만 3,000개로 증가

확산은 너무 빨랐고 대처는 너무 늦었다. 지난 21일 아침(미국 시각), 딘(Dyn)이라 부르는 DNS 서비스 제공업체를 대상으로 한 디도스 공격으로 인해 아마존, 엣시, 깃허브, 트위터, 뉴욕타임스 등 1,200개 이상의 도메인 사용자가 서비스를 하지 못했다. 이 공격은 미국 전역으로 확대되어 마치 대규모 인터넷 중단 사태가 일어난 것처럼 보였다.

Dyn을 침몰시킨 DDoS 공격의 전개 방법…서브도메인 공격이 결정타
IoT 봇넷으로 이뤄진 수천 만대 대규모 디도스 공격, 21일 미국을 덮치다

하지만 이는 인터넷이 중단된 것이 아니라 공격받은 대상이 DNS를 서비스하는 딘이라는 업체 특성상의 문제였다. DNS 서버는 인간의 언어로 된 URL을 기계가 읽을 수 있는 IP 주소로 바꿔주는 역할을 한다. 이를 통해 인터넷 통신은 드넓은 인터넷 상에서 정확한 사이트로 전달된다. 공격자는 수많은 인기 웹사이트에 DNS 서비스를 제공하는 서버를 공격 대상으로 골랐다. 딘 서버가 공격받는 동안 전 세계의 수천 개 인터넷 도메인에 대한 액세스에 영향을 미친 것이다. 이들 사이트에 접속하려고 한 사용자에게는 인터넷 전체가 먹통이 된 것처럼 보일 수 있었던 것이다.

“인터넷 붕괴?” Dyn DDos 공격에 대해 알아야 할 것과 해야 할 것

사실 보안전문가들이 IoT 보안에 대한 우려를 나타낸 것은 IoT 기기가 도입되기 전부터였다. 으례 그렇듯이 대형 보안사고가 터지기 전까지 보안전문가들의 경고는 양치기 소년의 외침에 불과했다.

사물인터넷, '살인' 무기로 악용될 가능성 높아
전문가들이 말하는 IoT의 두 얼굴, '일자리, 보안, 인프라'
뒤죽박죽인 IoT 보안, 누구의 책임인가
FBI마저, IoT 보안을 우려하다
"2016년 주목해야 할" DDoS 보안의 4가지 트렌드
글로벌 칼럼 | 다가오는 IoT 보안 재앙
시만텍, IoT 기기 통한 디도스 공격 증가 주의 당부
"디도스 공격 조직화, 대형화, 복합적으로 변화"...씨디네트웍스, 2016년 상반기 공격 분석 보고서
“2016년 전세계 IoT 보안 지출 지난해 비교 23.7% 증가할 것”...가트너

딘을 대상으로 한 디도스 공격이 발생한 이후, 항저우 시옹마이 테크놀로지는 자사 인터넷 카메라 제품 430만 대를 미국 시장에서 리콜하기로 결정했지만 사실 이는 한발 늦은 대책이었다.

“DDoS에 이용된 인터넷 카메라 리콜” 중국 항저우 시옹마이

상황은 더 나빠지고 있다. IoT 기기는 치명적인 보안 문제를 안고 있으며, 더 큰 문제는 이를 근원적으로 해결할 방법이 요원하다는 점이다. 증가일로에 있는 IoT 기기의 대다수는 기본적인 보안 허점, 즉 인터넷에 노출된 원격 관리 인터페이스를 사용하고 절대로 교체하지 않는 취약한 인증으로 보호되고 있다. IoT 보안이 우려스러운 이유는 다음과 같이 정리된다.

- 일반적으로 IoT 기기는 항상 인터넷에 연결되어 있다.
- 많은 IoT 기기가 기본 비밀번호로만 보호되는 관리 포트를 노출하고 있다.
- 기기에는 백신 등의 보안 소프트웨어가 없다.
- 공격자들은 소셜 엔지니어링, 이메일 감염, 값비싼 제로데이(Zero Day) 공격을 할 필요가 없다.
- 보안 지식이 없는 일반 고객과 소기업들은 스스로 기기를 보호해야 한다.


미라이 IoT 봇넷에서 활용한 61가지 비밀번호
글로벌 칼럼 | 인터넷이 망가져도 아무것도 할 수 없는 이유

가전제품의 자유로운 사용을 허용하는 어떤 국가도 보안 테스트를 의무화하지 않는다. 거의 모든 국가가 신호 방출에 대한 규정을 두고 있고 대부분의 제조업체가 자발적으로 글로벌 안전 과학 회사인 UL(Underwriters Laboratories)과 함께 전기 테스트를 수행하는 것과 대비된다. 미국 연방통상위원회(FTC)는 업계에 대책을 촉구했지만 강제할 만한 힘은 없다. 그래서 IoT 기기에 대한 보안 문제가 근원적으로 해결되기까지는 오랜 시간이 걸릴 것으로 보인다. 기업이나 사용자들이 스스로를 지키는 방법은 다음과 같다.

기업의 IoT 보안 대책
- IoT 보안을 과소평가하지 않는다.
- 스마트 기기의 구매 및 도입 시, IT와 운영 부문이 커뮤니케이션 해야한다.
- 스마트 기기의 소프트웨어 업데이트를 계속 추적한다.
- 최종 사용자에게 보안 위험을 교육한다.
- IT 담당자들에게 IoT의 의미를 교육한다.

일반 사용자의 IoT 보안 대책
- 필요한 디바이스만 연결한다.
- 네트워크를 분리한다.
- 좋은 비밀번호를 선택하고, 디바이스마다 다른 비밀번호를 이용한다.
- UPnP(Universal Plug and Play)를 끈다.
- 항상 최신 펌웨어를 설치한다.
- 클라우드 서비스를 주의한다.
- 개인 기기를 직장에 가져가지 않는다.
- 기기를 추적 관리, 평가한다. editor@itworld.co.kr

글로벌 칼럼 | IoT 보안, 기업의 구매 프로세스도 바꾼다
사물인터넷 보안 위협에 대처하는 5가지 방법
안전한 IoT 디바이스를 위한 8가지 보안 팁
자신의 IoT 기기 안전을 지키는 법

X