2016.10.25

윈드리버, “IoT 디도스 공격에 대비한 디바이스 면역력을 키우는 것이 중요하다”

편집부 | ITWorld
사물인터넷 디바이스를 감염시켜 대규모 DDoS 공격을 일으킨 트로이목마 프로그램의 소스코드가 온라인에 공개됐다. 봇넷 추적기관 멀웨어테크(MalwareTech)는 미라이(Mirai)라는 이름의 이 악성코드에 의해 현재 12만 대의 디바이스가 감염됐고, 수준 3인 감염의 경우는 150만 대에 이른다고 추정하고 있다.

윈드리버는 자사 블로그를 통해 미라이 바이러스의 감염 경로 및 제거 방안과 대처법을 소개했다.

일단 디바이스가 미라이 바이러스에 감염되면, 무작위로 인터넷에서 기본 인증 정보를 사용하는 열린 텔넷 포트가 있는 디바이스를 검색한다. 이러한 디바이스를 찾으면 이를 좀비로 감염시키고, 감염된 디바이스는 다시 더 많은 대상을 찾기 위해 인터넷 검색을 시작한다. 일부 디바이스는 치료되거나 보호되지만, 대다수 디바이스는 감염된 상태 그대로 남게 되며, 이는 영구적으로 감염된 디바이스가 된다.

디바이스를 치료했다고 해도, 재감염시킬 수 있는 다른 감염된 디바이스에 대한 면역 상태로는 볼 수 없다. 감염된 많은 디바이스가 감염 제거를 위해 업데이트되지 않고 방치되기 때문에 심각한 상황을 초래할 수 있다.

윈드리버는 미라이 바이러스를 제거하거나, 최소한 그 영향을 제한할 방법에 대해 제안했다.

우선 모든 디바이스를 치료하는 것이다. 하지만 현실적으로 불가능한 방법이라고 업체 측은 밝혔다. 대부분의 디바이스 소유자는 디바이스가 감염되었는지도 모르고, 치료할 기술이나 능력이 없거나, 자신에게 직접 해를 입히는 것도 아니므로 해결할 의지도 없는 경우가 많다.

두 번째로는 명령 및 제어 서버를 제거하는 것이다. 미라이 바이러스의 약점은 새롭게 감염된 디바이스가 명령 및 제어 서버를 통해 등록해 지침을 다운로드해야 한다. 즉, 감염된 디바이스가 아니라 감염된 서버를 필요로 하므로, 명령 및 제어 서버를 제거하면, 바이러스의 확산을 제한할 수 있다.

세 번째는 타깃 보호를 위해, 호스팅 업체를 변경하는 것이다. DDoS 공격은 새로운 것이 아니므로, 대상을 옮기는 것과 같이 이에 대응하여 위험을 완화할 수 있다.

하지만 궁극적인 해결 방법은 현재 감염되었거나 감염되었을 가능성이 있는 모든 디바이스를 치료하는 것인데, 이는 현실적으로 불가능하므로 감염을 완전히 제거할 수는 없다고 업체 측은 설명했다.

윈드리버는 미라이가 아니더라도, 자체적으로 전파되는 몇몇 악성코드가 개발돼 IoT 디바이스를 감염시킬 수 있다고 전망했다. 미라이의 소스코드가 공개돼 후속 바이러스의 개발이 가속화되었기 때문이다. 또한 명령 및 제어 서버에 대한 의존성이 없어질 것도 예상할 수 있으며, 이러한 진화가 일어나면 바이러스의 제거는 더욱 어려워 질 것이라고 예측했다.

윈드리버의 국내 산업 시장 및 IoT 사업 부문을 총괄하는 이주연 차장은 “IoT 좀비가 만연한 세상은 충분히 예측 가능한 미래이며, 이를 피하고 격리하는 것도 가능하겠지만, 네트워크가 변하고 새로운 디바이스가 배포되면 노출될 새로운 경로도 다시 열리게 된다”며, “감염으로부터 디바이스의 면역력을 키우는 것이 매우 중요하다”고 말했다. editor@itworld.co.kr


2016.10.25

윈드리버, “IoT 디도스 공격에 대비한 디바이스 면역력을 키우는 것이 중요하다”

편집부 | ITWorld
사물인터넷 디바이스를 감염시켜 대규모 DDoS 공격을 일으킨 트로이목마 프로그램의 소스코드가 온라인에 공개됐다. 봇넷 추적기관 멀웨어테크(MalwareTech)는 미라이(Mirai)라는 이름의 이 악성코드에 의해 현재 12만 대의 디바이스가 감염됐고, 수준 3인 감염의 경우는 150만 대에 이른다고 추정하고 있다.

윈드리버는 자사 블로그를 통해 미라이 바이러스의 감염 경로 및 제거 방안과 대처법을 소개했다.

일단 디바이스가 미라이 바이러스에 감염되면, 무작위로 인터넷에서 기본 인증 정보를 사용하는 열린 텔넷 포트가 있는 디바이스를 검색한다. 이러한 디바이스를 찾으면 이를 좀비로 감염시키고, 감염된 디바이스는 다시 더 많은 대상을 찾기 위해 인터넷 검색을 시작한다. 일부 디바이스는 치료되거나 보호되지만, 대다수 디바이스는 감염된 상태 그대로 남게 되며, 이는 영구적으로 감염된 디바이스가 된다.

디바이스를 치료했다고 해도, 재감염시킬 수 있는 다른 감염된 디바이스에 대한 면역 상태로는 볼 수 없다. 감염된 많은 디바이스가 감염 제거를 위해 업데이트되지 않고 방치되기 때문에 심각한 상황을 초래할 수 있다.

윈드리버는 미라이 바이러스를 제거하거나, 최소한 그 영향을 제한할 방법에 대해 제안했다.

우선 모든 디바이스를 치료하는 것이다. 하지만 현실적으로 불가능한 방법이라고 업체 측은 밝혔다. 대부분의 디바이스 소유자는 디바이스가 감염되었는지도 모르고, 치료할 기술이나 능력이 없거나, 자신에게 직접 해를 입히는 것도 아니므로 해결할 의지도 없는 경우가 많다.

두 번째로는 명령 및 제어 서버를 제거하는 것이다. 미라이 바이러스의 약점은 새롭게 감염된 디바이스가 명령 및 제어 서버를 통해 등록해 지침을 다운로드해야 한다. 즉, 감염된 디바이스가 아니라 감염된 서버를 필요로 하므로, 명령 및 제어 서버를 제거하면, 바이러스의 확산을 제한할 수 있다.

세 번째는 타깃 보호를 위해, 호스팅 업체를 변경하는 것이다. DDoS 공격은 새로운 것이 아니므로, 대상을 옮기는 것과 같이 이에 대응하여 위험을 완화할 수 있다.

하지만 궁극적인 해결 방법은 현재 감염되었거나 감염되었을 가능성이 있는 모든 디바이스를 치료하는 것인데, 이는 현실적으로 불가능하므로 감염을 완전히 제거할 수는 없다고 업체 측은 설명했다.

윈드리버는 미라이가 아니더라도, 자체적으로 전파되는 몇몇 악성코드가 개발돼 IoT 디바이스를 감염시킬 수 있다고 전망했다. 미라이의 소스코드가 공개돼 후속 바이러스의 개발이 가속화되었기 때문이다. 또한 명령 및 제어 서버에 대한 의존성이 없어질 것도 예상할 수 있으며, 이러한 진화가 일어나면 바이러스의 제거는 더욱 어려워 질 것이라고 예측했다.

윈드리버의 국내 산업 시장 및 IoT 사업 부문을 총괄하는 이주연 차장은 “IoT 좀비가 만연한 세상은 충분히 예측 가능한 미래이며, 이를 피하고 격리하는 것도 가능하겠지만, 네트워크가 변하고 새로운 디바이스가 배포되면 노출될 새로운 경로도 다시 열리게 된다”며, “감염으로부터 디바이스의 면역력을 키우는 것이 매우 중요하다”고 말했다. editor@itworld.co.kr


X