2016.10.04

사물 인터넷 악성코드 ‘미라이’ 소스 코드 공개…관련 봇넷 확산 우려

Lucian Constantin | IDG News Service
수십만 대의 사물 인터넷 디바이스를 감염시켜 대규모 DDoS 공격을 일으킨 트로이목마 프로그램의 소스 코드가 온라인에 공개됐다. 향후 더 많은 서브 봇넷이 생겨날 것이란 우려가 제기되고 있다.

미라이(Mirai)란 이름의 이 트로이 목마 코드는 지난 주 금요일 영어권 해커 포럼에 올라왔다고 보안 전문 블로거 브라이안 크렙스가 전했다. 크렙스의 웹 사이트는 2주 전 미라이 봇넷이 일으킨 대규모 DDoS 공격의 대상이 된 바 있다.

안나 센파이(Anna-senpai)란 별명을 사용하는 제작자는 소스 코드를 공개한 이유에 대해 사물 인터넷 기반 DDoS가 너무 주목을 받아서 이 분야를 떠나고 싶기 때문이라고 밝혔다.

제작자의 설명에 따르면, 미라이는 브루트 포스 텔넷 공격을 사용해 매일 38만 대의 사물 인터넷 디바이스를 감염시킨다. 하지만 크렙스의 웹 사이트에 대한 DDoS 공격 이후 ISP들이 대응에 나서 감염된 디바이스를 차단하기 시작했고, 이 때문에 하루에 감염되는 디바이스의 수가 30만 대 수준으로 떨어졌고 앞으로도 더 줄어들 것으로 보인다고 설명했다.

여기서 한 가지 주목할 것은 일반 PC의 감염과는 달리 사물 인터넷이나 임베디드 디바이스의 감염은 일시적이라는 점이다. 이들 디바이스에는 비휘발성 스토리지가 없기 때문에 재시동이 이루어지면 감염 자체도 사라진다. 봇넷의 규모를 유지하기 위해서는 매일 새로 디바이스를 찾아 감염시켜야 하는 것이다.

가정용 공유기나 DSL 모델, DVR, NAS 등을 이용한 DDoS 공격은 완전히 새로운 공격은 아니다. 일례로 지난 2015년 10월 보안업체 인캡슐라는 약 900대의 CCTV 카메라에서 시작된 DDoS 공격을 방어한 바 있다. 하지만 지난 몇 개월 동안 사물 인터넷 봇넷의 역량이 극대화된 것으로 보인다. 크렙스의 웹 사이트에 620Gbps 규모의 공격이 있은 후, 프랑스 서버 호스팅 업체 OVH는 799Gbps 규모의 공격을 당했다. 이 공격은 약 14만 대의 DVR과 IP 카메라로 이루어진 봇넷에서 시작됐다.

OVH의 CTO는 이런 대형 봇넷은 1Tbps를 쉽게 넘는 치명적인 공격을 할 수 있다고 경고했다.

사실 1Tbps 규모의 공격을 막아낼 수 있는 DDoS 완화 서비스 업체는 극히 드물다. CDN 업체인 아카마이는 최근 크렙스의 웹 사이트가 공격 당할 때, 방어 비용이 너무 비싸게 든다는 이유로 방어를 포기하기도 했다.

상황은 더 나빠지고 있다. 사물 인터넷 디바이스는 증가일로에 있고 많은 디바이스가 기본적인 보안 허점, 즉 인터넷에 노출된 원격 관리 인터페이스를 사용하고 절대로 교체하지 않는 취약한 인증으로 보호되고 있다.

미라이의 소스 코드가 공개되면서 더 많은 사물 인터넷 봇넷이 생겨날 가능성이 켜졌다. 실제로 2015년 리눅스 시스템용 DDoS 봇인 리저드스트레서(LizardStresser)가 공개됐는데, 올해 6월 기준으로 이를 기반으로 한 악성 코드를 사용한 봇넷이 100개를 넘는 것으로 파악됐다.  editor@itworld.co.kr


2016.10.04

사물 인터넷 악성코드 ‘미라이’ 소스 코드 공개…관련 봇넷 확산 우려

Lucian Constantin | IDG News Service
수십만 대의 사물 인터넷 디바이스를 감염시켜 대규모 DDoS 공격을 일으킨 트로이목마 프로그램의 소스 코드가 온라인에 공개됐다. 향후 더 많은 서브 봇넷이 생겨날 것이란 우려가 제기되고 있다.

미라이(Mirai)란 이름의 이 트로이 목마 코드는 지난 주 금요일 영어권 해커 포럼에 올라왔다고 보안 전문 블로거 브라이안 크렙스가 전했다. 크렙스의 웹 사이트는 2주 전 미라이 봇넷이 일으킨 대규모 DDoS 공격의 대상이 된 바 있다.

안나 센파이(Anna-senpai)란 별명을 사용하는 제작자는 소스 코드를 공개한 이유에 대해 사물 인터넷 기반 DDoS가 너무 주목을 받아서 이 분야를 떠나고 싶기 때문이라고 밝혔다.

제작자의 설명에 따르면, 미라이는 브루트 포스 텔넷 공격을 사용해 매일 38만 대의 사물 인터넷 디바이스를 감염시킨다. 하지만 크렙스의 웹 사이트에 대한 DDoS 공격 이후 ISP들이 대응에 나서 감염된 디바이스를 차단하기 시작했고, 이 때문에 하루에 감염되는 디바이스의 수가 30만 대 수준으로 떨어졌고 앞으로도 더 줄어들 것으로 보인다고 설명했다.

여기서 한 가지 주목할 것은 일반 PC의 감염과는 달리 사물 인터넷이나 임베디드 디바이스의 감염은 일시적이라는 점이다. 이들 디바이스에는 비휘발성 스토리지가 없기 때문에 재시동이 이루어지면 감염 자체도 사라진다. 봇넷의 규모를 유지하기 위해서는 매일 새로 디바이스를 찾아 감염시켜야 하는 것이다.

가정용 공유기나 DSL 모델, DVR, NAS 등을 이용한 DDoS 공격은 완전히 새로운 공격은 아니다. 일례로 지난 2015년 10월 보안업체 인캡슐라는 약 900대의 CCTV 카메라에서 시작된 DDoS 공격을 방어한 바 있다. 하지만 지난 몇 개월 동안 사물 인터넷 봇넷의 역량이 극대화된 것으로 보인다. 크렙스의 웹 사이트에 620Gbps 규모의 공격이 있은 후, 프랑스 서버 호스팅 업체 OVH는 799Gbps 규모의 공격을 당했다. 이 공격은 약 14만 대의 DVR과 IP 카메라로 이루어진 봇넷에서 시작됐다.

OVH의 CTO는 이런 대형 봇넷은 1Tbps를 쉽게 넘는 치명적인 공격을 할 수 있다고 경고했다.

사실 1Tbps 규모의 공격을 막아낼 수 있는 DDoS 완화 서비스 업체는 극히 드물다. CDN 업체인 아카마이는 최근 크렙스의 웹 사이트가 공격 당할 때, 방어 비용이 너무 비싸게 든다는 이유로 방어를 포기하기도 했다.

상황은 더 나빠지고 있다. 사물 인터넷 디바이스는 증가일로에 있고 많은 디바이스가 기본적인 보안 허점, 즉 인터넷에 노출된 원격 관리 인터페이스를 사용하고 절대로 교체하지 않는 취약한 인증으로 보호되고 있다.

미라이의 소스 코드가 공개되면서 더 많은 사물 인터넷 봇넷이 생겨날 가능성이 켜졌다. 실제로 2015년 리눅스 시스템용 DDoS 봇인 리저드스트레서(LizardStresser)가 공개됐는데, 올해 6월 기준으로 이를 기반으로 한 악성 코드를 사용한 봇넷이 100개를 넘는 것으로 파악됐다.  editor@itworld.co.kr


X