IoT / 보안

공유기 수백만 대, 삭제 안되는 악성 펌웨어 감염 주장…”진위 미확인, 가능성 있다”

Darlene Storm | Computerworld 2016.12.08
만약 게이머라면 인텔 퓨마 6 칩셋을 사용한 가정용 라우터는 피하는 것이 좋다. 갑작스러운 지연과 패킷 손실로 게임에 지기 십상이기 때문이다. 물론 일부 게이머는 항상 ‘랙 때문에 졌다’는 핑계를 대곤 하지만, 퓨마 칩셋의 문제는 인텔도 인정할 정도이다.

레지스터는 링크시스와 시스코, 아리스(Arris)의 일부 라우터에 이 칩셋이 사용됐으며, 몇몇 ISP가 제공하는 라우터에도 사용됐다고 보도했다. 아리스는 미국 내에서는 ISP가 대여해주는 장비로 꽤 알려진 업체이다. 인텔은 관련 문제를 바로 잡을 새로운 펌웨어를 개발하고 있는 것으로 알려졌다.

라우터의 예기치 못한 랙은 게임뿐만 아니라 비디오 스트리밍, VoIP 앱에도 영향을 미친다. 물론 대부분 사용자는 라우터의 성능을 욕하며 장비업체가 펌웨어를 수정해 주기를 기다리지 라우터를 버리지는 않는다. 하지만 한 해커는 320만 명의 사용자가 라우터를 버려야 할 것이라고 주장했다. 이 해커는 이미 자신이 수많은 라우터에 악성코드를 심었으며, 이렇게 감염된 라우터는 펌웨어 수정으로 고칠 수 없다고 주장했다.

미라이 악성코드에 감염된 라우터에 대한 1차 조치는 전원을 끊는 것이다. 그리고 재기동하면 메모리에 남아 있는 악성코드가 사라진다. 물론 이 라우터는 금방 또 악성코드에 감염되어 DDoS 공격에 이용될 가능성이 크다. 수많은 감염 장비가 또 다른 취약 장비를 찾아 다니고 있기 때문이다.

하지만 기술 과학 매체인 마더보드(Motherboard)는 ‘베스트바이(BestBuy)’란 별명의 한 해커가 라우터의 결함을 악용해 악성 펌웨어로 라우터를 감염시키는 서버를 구축했는데, 이 펌웨어는 삭제할 수 없다고 보도했다. 이렇게 감염된 라우터들은 지난 10월 IoT 기반의 대규모 DDoS 공격에 이용된 것으로 보인다. 이 해커는 또한 변형된 미라이 악성코드로 도이치 텔레콤에 접속 장애를 일으킨 해커와 동일 인물이다.

현재 베스트바이는 영구적으로 감염된 라우터로 구성된 좀비 군단을 보유하고 있다고 주장하고 있다. 베스트바이는 마더보드와의 채팅 인터뷰에서 다음과 같이 말했다.

“그 라우터들은 리부팅을 한 후에도 우리 것이다. 다른 누구의 새 펌웨어를 받아들이지 않을 것이며, 매번 우리에게 다시 연결될 것이다. 봇은 기기를 쓰레기통에 버리기 전에는 없어지지 않는다.”

아직 영구적인 백도어가 설치된 라우터를 실제로 발견되지는 않았기 때문에 베스트바이의 주장은 미확인 상태이다. 그럼에도 베스트바이는 자신의 주장이 사실이란 것을 증명하고자 했다.

우선 베스트바이는 마더보드의 보안 담당 필자에게 악성 펌웨어를 배포하는 데 사용하고 있는 ‘액세스 컨트럴 서버’의 실시간 현황을 보여줬다. 마더보드는 몇 시간 지나지 않아 액세스된 기기가 50만 대에서 130만 대로 증가했다고 밝혔다.

그리고는 로그인 인증을 공유해 “감염된 것으로 보이는 라우터의 긴 목록과 모델명, ID”를 보여줬다.

많은 보안 전문가들이 베스트바이의 주장이 실현 가능성이 있다고 평가했다. 보안 전문가들의 전반적인 의견은 이런 대량 생산된 라우터 모델용으로 악성코드를 만들면서 해커가 실수만 하지 않으면 가능하다는 것이다.

한편, 지난 해 ‘화이트 팀\(White Team)’이란 단체가 Linux.Wifatch란 악성코드를 개발했다고 밝혔다. 화이트 팀은 이 악성코드가 화이트햇 악성코드의 일종으로, 수만 대의 기기를 감염시켜 해당 기기의 보안을 향상한다고 주장했다. 화이트햇 악성코드는 일단 기본 패스워드를 사용하는 취약한 IoT 기기가 감염시킨 다음, 알려진 악성코드를 검사한다. 진짜 악성코드를 방지하기 때문에 해당 기기의 보안이 강화된다는 것이다.

아무리 선의의 악성코드라 하더라도 자신의 라우터나 IoT 기기가 악성코드에 감염되기를 바라는 사람은 없다. 화이트햇 악성코드 역시 기기를 감염시킬 때 허가를 받지 않기 때문이다. 그럼에도 불구하고 삭제도 안 되는 악성코드의 확산을 저지하는 데 이런 선의의 악성코드가 기여해주기를 기대하게 된다.

인텔 글로벌 커뮤니케이션의 스콧 매세이는 인텔 퓨마 칩셋의 지연 문제는 악성코드 감염으로 인한 것이 아니라고 밝혔다. 지연이 발생하는 것은 칩 자체의 문제이며, 현재 수정 작업이 진행되고 있다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.