2016.06.29

좀비 CCTV 단말기 수천 대, 디도스 공격에 이용되다

Lucian Constantin | IDG News Service
2만 5,000대 이상의 CCTV 카메라와 디지털카메라에서 봇넷이 발견됐다.


Credit: Gerd Altmann / Pixabay

해커들이 2만 5,000대 이상의 디지털카메라, CCTV카메라를 공격해 웹 사이트에 대한 디도스 공격에 사용하는 것으로 파악됐다. 최근 웹 보안업체 수쿠리(Sucuri) 연구원이 자사 고객사 가운에 한 작은 보석상점의 웹사이트를 겨냥한 공격을 발견했다.

이 공격은 전문가들이 애플리케이션 레이어 또는 레이어 7이라고 부르는 것을 겨냥했으며 최대 초당 HTTP 요청을 약 5만 건에 달하도록 했다. 이러한 웹사이트의 인프라는 일반적으로 동시에 수백 또는 수천 건만을 취급할 수 있기 때문에 이 공격은 해당 웹사이트를 쉽게 망가뜨릴 수 있다.

수쿠리 연구원은 트래픽이 CCTV 단말기, 특히 디지털카메라(DVR)에서 왔다고 밝혔다. 이들 가운데 대부분은 DVR 컴포넌트 다운로드라는 제목의 페이지의 HTTP 요청에 응답했기 때문이다.

이 기기들의 절반가량은 페이지에서 H.264 DVR 로고를 나타냈지만 나머지는 프로비저널SR(ProvisionISR), 큐시(QSee), 큐테크(QuesTek), 테크노메이트(TechnoMate), LCT CCTV, 캡처CCTV(Capture CCTV), 엘복스(Elvox), 노부스(Novus), 맥텍CCTV(MagTec CCTV) 같은 특정 브랜드를 표시했다.

봇넷은 전세계적인 유통망이 있는 것 같지만, 그 가운데서도 특히 많은 나라는 대만(24%), 미국(16%), 인도네시아(9%), 멕시코(8%), 말레이시아(6%), 이스라엘(5%), 이탈리아(5%)다.

이 기기들이 해킹됐는 지는 확실치 않지만, CCTV DVR은 보안에 취약한 것으로 악명이 높다. 지난 3월 보안 연구원들은 DVR 업체 70개 이상에서 원격 코드 실행 취약점을 발견했다. 2월 리스크 베이스트 시큐리티(Risk Based Security)의 보안 연구원들은 서로 다른 업체의 DVR 4만 5,000대 이상이 같은 하드코딩된 루프 패스워드를 사용하는 것으로 추정했다.

하지만 이런 사실이 발견되기 전에도 해커들은 CCTV 단말기의 결함에 대해 알고 있었다. 지난해 10월 보안 업체인 임퍼바(Imperva)는 리눅스와 비지박스(BusyBox) 툴킷의 임베디드 버전을 구동하는 900대의 CCTV 카메라에서 봇넷을 내보내는 디도스 공격을 발견했다고 보고했다.

안타깝게도 CCTV DVR 업체가 식별된 취약점에 대해 거의 패치를 적용하지 않는다. 특히 오래된 장비에서 대해서는 더욱 그렇기 때문에 사용자가 할 수 있는 일은 많지 않다. 좋은 방법은 이들 장비를 라우터나 방화벽 뒤에 둠으로써 인터넷에 직접 노출되지 않도록 하는 것이다. 원격 관리와 모니터링이 필요하다면, 사용자는 자신의 DVR에 접근하기 전에 로컬 네트워크 연결을 허용하는 VPN(가상사설망) 솔루션을 확인해야 한다. ciokr@idg.co.kr


2016.06.29

좀비 CCTV 단말기 수천 대, 디도스 공격에 이용되다

Lucian Constantin | IDG News Service
2만 5,000대 이상의 CCTV 카메라와 디지털카메라에서 봇넷이 발견됐다.


Credit: Gerd Altmann / Pixabay

해커들이 2만 5,000대 이상의 디지털카메라, CCTV카메라를 공격해 웹 사이트에 대한 디도스 공격에 사용하는 것으로 파악됐다. 최근 웹 보안업체 수쿠리(Sucuri) 연구원이 자사 고객사 가운에 한 작은 보석상점의 웹사이트를 겨냥한 공격을 발견했다.

이 공격은 전문가들이 애플리케이션 레이어 또는 레이어 7이라고 부르는 것을 겨냥했으며 최대 초당 HTTP 요청을 약 5만 건에 달하도록 했다. 이러한 웹사이트의 인프라는 일반적으로 동시에 수백 또는 수천 건만을 취급할 수 있기 때문에 이 공격은 해당 웹사이트를 쉽게 망가뜨릴 수 있다.

수쿠리 연구원은 트래픽이 CCTV 단말기, 특히 디지털카메라(DVR)에서 왔다고 밝혔다. 이들 가운데 대부분은 DVR 컴포넌트 다운로드라는 제목의 페이지의 HTTP 요청에 응답했기 때문이다.

이 기기들의 절반가량은 페이지에서 H.264 DVR 로고를 나타냈지만 나머지는 프로비저널SR(ProvisionISR), 큐시(QSee), 큐테크(QuesTek), 테크노메이트(TechnoMate), LCT CCTV, 캡처CCTV(Capture CCTV), 엘복스(Elvox), 노부스(Novus), 맥텍CCTV(MagTec CCTV) 같은 특정 브랜드를 표시했다.

봇넷은 전세계적인 유통망이 있는 것 같지만, 그 가운데서도 특히 많은 나라는 대만(24%), 미국(16%), 인도네시아(9%), 멕시코(8%), 말레이시아(6%), 이스라엘(5%), 이탈리아(5%)다.

이 기기들이 해킹됐는 지는 확실치 않지만, CCTV DVR은 보안에 취약한 것으로 악명이 높다. 지난 3월 보안 연구원들은 DVR 업체 70개 이상에서 원격 코드 실행 취약점을 발견했다. 2월 리스크 베이스트 시큐리티(Risk Based Security)의 보안 연구원들은 서로 다른 업체의 DVR 4만 5,000대 이상이 같은 하드코딩된 루프 패스워드를 사용하는 것으로 추정했다.

하지만 이런 사실이 발견되기 전에도 해커들은 CCTV 단말기의 결함에 대해 알고 있었다. 지난해 10월 보안 업체인 임퍼바(Imperva)는 리눅스와 비지박스(BusyBox) 툴킷의 임베디드 버전을 구동하는 900대의 CCTV 카메라에서 봇넷을 내보내는 디도스 공격을 발견했다고 보고했다.

안타깝게도 CCTV DVR 업체가 식별된 취약점에 대해 거의 패치를 적용하지 않는다. 특히 오래된 장비에서 대해서는 더욱 그렇기 때문에 사용자가 할 수 있는 일은 많지 않다. 좋은 방법은 이들 장비를 라우터나 방화벽 뒤에 둠으로써 인터넷에 직접 노출되지 않도록 하는 것이다. 원격 관리와 모니터링이 필요하다면, 사용자는 자신의 DVR에 접근하기 전에 로컬 네트워크 연결을 허용하는 VPN(가상사설망) 솔루션을 확인해야 한다. ciokr@idg.co.kr


X