2017.04.10

파괴적 행동을 하는 IoT 악성코드 등장과 IoT 기기 구매시 보안 검증 방법

Lucian Constantin | IDG News Service
해커들이 사물인터넷(Internet-of-things, IoT)와 기타 임베디드 기기를 감염시키도록 설계된 악성코드에 데이터 삭제 기능을 추가하기 시작했다. 최근 관찰된 2개의 악성코드 공격은 이런 삭제 행위를 보여줬지만 각자 다른 목적으로 사용됐을 가능성이 있다.


Credit: Gerd Altmann/ Pixabay

팔로알토 네트웍스 연구원들은 1년 전 취약점을 통해 DVR(Digital Video Recorders)을 감염시키는 새로운 악성코드 프로그램인 암네시아(Amnesia, 기억상실)를 발견했다. 암네시아는 쓰나미(Tsunami)라 부르는 구형 IoT 봇넷 클라이언트의 변형이지만, 흥미로운 점은 가상화된 환경에서 실행 중인지를 탐지하려고 시도한다는 것이다.

이 악성코드는 실행중인 리눅스 환경이 실제 환경인지, 버추얼박스(VirtualBox), VM웨어(VMware), QEMU 등을 기반으로 한 가상머신에서 실행하는 것인 지를 확인하기 위해 몇가지 검사를 수행한다. 이런 가상 환경은 보안 연구원들이 일반적으로 사용하는 분석 샌드박스 또는 허니팟(honeypots)을 만드는데 사용된다.

가상머신 탐지 기능을 가진 윈도우 악성코드는 수년 전부터 존재해 왔다. 하지만 이 기능이 리눅스 기반의 임베디드 기기용으로 만들어진 악성코드에서 관찰된 것은 처음이다.

암네시아가 가상머신의 존재를 탐지해낸다면 수집한 증거를 없애기 위해 리눅스 “rm –rf”(연결된 모든 드라이브의 파일을 삭제하는 유명한 명령어)를 사용해 파일 시스템에서 중요한 디렉토리를 지우려고 시도한다.

한편 보안서비스 제공업체인 라드웨어(Radware)의 연구원은 IoT 기기를 대상으로 한 브리커봇(BrickerBot)이라는 다른 악성코드 공격을 발견했다. 이 공격은 감염된 라우터와 무선 액세스 포인트로부터 다른 리눅스 기반의 임베디드 기기에 시작된다.

이 악성코드는 텔넷 서비스가 실행 중이며, 인터넷에 노출되어 있는 기기들을 대상으로 기본 사용자 이름과 비밀번호를 조합해 인증을 시도한다. 인증에 성공하면 기기에 마운트된 파티션에 있는 데이터를 삭제하는 명령을 실행한다. 또한 인터넷 연결을 중단하고 기기를 사용하지 못하게 만든다.

일부 기기들은 읽기 전용 파티션을 사용하기 때문에 공격에서 살아남을 수 있지만, 대부분의 기기들은 그렇지 못하며 결국 펌웨어 리플래시가 필요한 상태가 된다. 또한 모든 구성들을 손실하게 될 가능성이 높으며, USB 포트가 있는 라우터나 NAS의 경우, 외장 하드 드라이브의 데이터도 지워질 수 있다.

실제 브리커봇 공격 변형 가운데 하나는 임베디드, IoT 기기에 국한되지 않으며, 약하거나 기본 자격 증명으로 되어 있는, 텔넷을 통해 액세스할 수 있는 모든 리눅스 기반의 시스템에서 작동한다. 

브리커봇 공격의 목표가 무엇인지는 명확하지 않다. 이 악성코드의 작성자는 인터넷상의 취약한 기기를 비활성화해 다른 해커가 감염, 악용할 수 없도록 하려는 것일 수 있다. 지난해 동안 관찰된 가장 큰 DDoS 공격의 일부는 해킹된 IoT 기기로 구성된 봇넷에서 비롯됐기 때문에 사용자들은 취약한 기기들을 해결하거나 대체하는 조치를 취해야 한다.

대부분의 사용자는 자신의 라우터, IP 카메라 또는 NAS가 악성코드에 감염되어 DDoS 공격에 사용됐는 지조차 알지 못한다. DDoS 공격에 사용되더라도 성능에 영향을 미치지 않기 때문이다. 그러나 브리커봇은 해당 기기 작동을 중단시키고 그 가운데 많은 기기가 수동으로 조작해야 해결되기 때문에 사용자는 뭔가 잘못됐다는 것을 알 수 있다.

암네시아 봇은 패치를 되지 않은 임베디드 기기에서 취약점이 수년동안 머무를 수 있다는 걸 보여주는 아주 좋은 예다. 이 악성코드에 의해 악용된 결함은 1년 전에 공개됐으며, CCTV 카메라에서 나오는 동영상 스트림을 녹화하는 시스템인 DVR의 70개 이상 제품에 영향을 줬다.

이렇게 많은 DVR 제품이 영향을 받는 이유는 여러 이름으로 판매되는 제품들이 실제로는 선전 TVT 디지털 테크놀로지(Shenzhen TVT Digital Technology)라는 중국 OEM 업체에서 하드웨어와 펌웨어를 공급하기 때문이다.

소위 "화이트 라벨링(white labeling)" 관행은 IP 카메라와 라우터를 포함한 수많은 IoT 기기에서 일반적으로 발생하며, 영향을 받은 기기들에 대한 보안 패치 배포를 매우 어렵게 만든다. 또한 이런 기기가 자동으로 업데이트가 되지 않는 원인이기도 하다.

팔로알토 네트웍스에 따르면, 전세계 22만 7,000개 이상의 DVR이 이 취약점을 갖고 있으며, 인터넷에 직접 노출되어 있다. 이 가운데 가장 많은 수가 대만, 미국, 이스라엘, 터키, 그리고 인도에 있다.

기업이나 일반 사용자들은 카메라, 라우터 NAS 시스템 또는 다른 IoT 기기를 구매할 경우, 다음과 같은 제조업체의 보안 사항을 확인해야 한다.

- 해당 업체는 보안 문제를 다룰 전용 연락처를 갖고 있는가?
- 해당 업체는 과거 자사 제품의 취약점을 어떻게 처리했는가?
- 보안 권고는 게시하고 있는가?
- 정기적으로 보안 패치를 발표하는가?
- 제품 지원 기간이 합리적인가?
- 제품에 자동 업데이트 기능은 있는가?


모든 소프트웨어에는 결함이 있고, 값이 비싼 기기에서도 정기적으로 결함이 발견되기 때문에 이 질문에 대한 답변을 통해 사용자는 가격 이외의 구매 결정을 내릴 수 있다. 제조업체들이 이런 결함들을 어떻게 처리하느냐가 향후 제품 차별화의 핵심이 될 것이다. editor@itworld.co.kr  

2017.04.10

파괴적 행동을 하는 IoT 악성코드 등장과 IoT 기기 구매시 보안 검증 방법

Lucian Constantin | IDG News Service
해커들이 사물인터넷(Internet-of-things, IoT)와 기타 임베디드 기기를 감염시키도록 설계된 악성코드에 데이터 삭제 기능을 추가하기 시작했다. 최근 관찰된 2개의 악성코드 공격은 이런 삭제 행위를 보여줬지만 각자 다른 목적으로 사용됐을 가능성이 있다.


Credit: Gerd Altmann/ Pixabay

팔로알토 네트웍스 연구원들은 1년 전 취약점을 통해 DVR(Digital Video Recorders)을 감염시키는 새로운 악성코드 프로그램인 암네시아(Amnesia, 기억상실)를 발견했다. 암네시아는 쓰나미(Tsunami)라 부르는 구형 IoT 봇넷 클라이언트의 변형이지만, 흥미로운 점은 가상화된 환경에서 실행 중인지를 탐지하려고 시도한다는 것이다.

이 악성코드는 실행중인 리눅스 환경이 실제 환경인지, 버추얼박스(VirtualBox), VM웨어(VMware), QEMU 등을 기반으로 한 가상머신에서 실행하는 것인 지를 확인하기 위해 몇가지 검사를 수행한다. 이런 가상 환경은 보안 연구원들이 일반적으로 사용하는 분석 샌드박스 또는 허니팟(honeypots)을 만드는데 사용된다.

가상머신 탐지 기능을 가진 윈도우 악성코드는 수년 전부터 존재해 왔다. 하지만 이 기능이 리눅스 기반의 임베디드 기기용으로 만들어진 악성코드에서 관찰된 것은 처음이다.

암네시아가 가상머신의 존재를 탐지해낸다면 수집한 증거를 없애기 위해 리눅스 “rm –rf”(연결된 모든 드라이브의 파일을 삭제하는 유명한 명령어)를 사용해 파일 시스템에서 중요한 디렉토리를 지우려고 시도한다.

한편 보안서비스 제공업체인 라드웨어(Radware)의 연구원은 IoT 기기를 대상으로 한 브리커봇(BrickerBot)이라는 다른 악성코드 공격을 발견했다. 이 공격은 감염된 라우터와 무선 액세스 포인트로부터 다른 리눅스 기반의 임베디드 기기에 시작된다.

이 악성코드는 텔넷 서비스가 실행 중이며, 인터넷에 노출되어 있는 기기들을 대상으로 기본 사용자 이름과 비밀번호를 조합해 인증을 시도한다. 인증에 성공하면 기기에 마운트된 파티션에 있는 데이터를 삭제하는 명령을 실행한다. 또한 인터넷 연결을 중단하고 기기를 사용하지 못하게 만든다.

일부 기기들은 읽기 전용 파티션을 사용하기 때문에 공격에서 살아남을 수 있지만, 대부분의 기기들은 그렇지 못하며 결국 펌웨어 리플래시가 필요한 상태가 된다. 또한 모든 구성들을 손실하게 될 가능성이 높으며, USB 포트가 있는 라우터나 NAS의 경우, 외장 하드 드라이브의 데이터도 지워질 수 있다.

실제 브리커봇 공격 변형 가운데 하나는 임베디드, IoT 기기에 국한되지 않으며, 약하거나 기본 자격 증명으로 되어 있는, 텔넷을 통해 액세스할 수 있는 모든 리눅스 기반의 시스템에서 작동한다. 

브리커봇 공격의 목표가 무엇인지는 명확하지 않다. 이 악성코드의 작성자는 인터넷상의 취약한 기기를 비활성화해 다른 해커가 감염, 악용할 수 없도록 하려는 것일 수 있다. 지난해 동안 관찰된 가장 큰 DDoS 공격의 일부는 해킹된 IoT 기기로 구성된 봇넷에서 비롯됐기 때문에 사용자들은 취약한 기기들을 해결하거나 대체하는 조치를 취해야 한다.

대부분의 사용자는 자신의 라우터, IP 카메라 또는 NAS가 악성코드에 감염되어 DDoS 공격에 사용됐는 지조차 알지 못한다. DDoS 공격에 사용되더라도 성능에 영향을 미치지 않기 때문이다. 그러나 브리커봇은 해당 기기 작동을 중단시키고 그 가운데 많은 기기가 수동으로 조작해야 해결되기 때문에 사용자는 뭔가 잘못됐다는 것을 알 수 있다.

암네시아 봇은 패치를 되지 않은 임베디드 기기에서 취약점이 수년동안 머무를 수 있다는 걸 보여주는 아주 좋은 예다. 이 악성코드에 의해 악용된 결함은 1년 전에 공개됐으며, CCTV 카메라에서 나오는 동영상 스트림을 녹화하는 시스템인 DVR의 70개 이상 제품에 영향을 줬다.

이렇게 많은 DVR 제품이 영향을 받는 이유는 여러 이름으로 판매되는 제품들이 실제로는 선전 TVT 디지털 테크놀로지(Shenzhen TVT Digital Technology)라는 중국 OEM 업체에서 하드웨어와 펌웨어를 공급하기 때문이다.

소위 "화이트 라벨링(white labeling)" 관행은 IP 카메라와 라우터를 포함한 수많은 IoT 기기에서 일반적으로 발생하며, 영향을 받은 기기들에 대한 보안 패치 배포를 매우 어렵게 만든다. 또한 이런 기기가 자동으로 업데이트가 되지 않는 원인이기도 하다.

팔로알토 네트웍스에 따르면, 전세계 22만 7,000개 이상의 DVR이 이 취약점을 갖고 있으며, 인터넷에 직접 노출되어 있다. 이 가운데 가장 많은 수가 대만, 미국, 이스라엘, 터키, 그리고 인도에 있다.

기업이나 일반 사용자들은 카메라, 라우터 NAS 시스템 또는 다른 IoT 기기를 구매할 경우, 다음과 같은 제조업체의 보안 사항을 확인해야 한다.

- 해당 업체는 보안 문제를 다룰 전용 연락처를 갖고 있는가?
- 해당 업체는 과거 자사 제품의 취약점을 어떻게 처리했는가?
- 보안 권고는 게시하고 있는가?
- 정기적으로 보안 패치를 발표하는가?
- 제품 지원 기간이 합리적인가?
- 제품에 자동 업데이트 기능은 있는가?


모든 소프트웨어에는 결함이 있고, 값이 비싼 기기에서도 정기적으로 결함이 발견되기 때문에 이 질문에 대한 답변을 통해 사용자는 가격 이외의 구매 결정을 내릴 수 있다. 제조업체들이 이런 결함들을 어떻게 처리하느냐가 향후 제품 차별화의 핵심이 될 것이다. editor@itworld.co.kr  

X