2016.11.29

강화된 미라이 악성코드, 도이치 텔레콤 라우터 공격…가입자 100만 명 인터넷 접속 문제

Michael Kan | IDG News Service
사물 인터넷 디바이스를 노리는 새로운 악성코드 미라이의 새 버전이 독일 도이치 텔레콤의 취약한 인터넷 라우터를 공격했다.

도이치 텔레콤은 미라이 악성코드의 변종이 퍼져 자사 고객 약 100만 명이 인터넷 접속 문제를 겪었다고 밝혔다. 미라이는 이미 50만 대 이상의 인터넷 연결 기기를 감염시킨 것으로 알려져 있다.

하지만 이번에 문제를 일으킨 것은 한층 업그레이드된 미라이의 변종으로 드러났다. SANS 기술 연구소의 보안 연구원 요하네스 율리히는 이번 감염 사고를 일으킨 변종 미라이 악성코드는 자이젤(Zyxel)에서 만든 인터넷 라우터의 취약점만을 공격하도록 특별히 고안된 것이라고 밝혔다.

원래 미라이는 취약한 기본 로그인 패스워드를 사용하는 디바이스를 감염시키는 악성 코드로, 이런 디바이스를 찾아 60여 개의 패스워드 조합을 사용해 침입한다. 하지만 이번 변종은 여기에 자이젤의 라우터 제품군에 내장된 SOAP(Simple Object Access Protocol)의 취약점도 공격하도록 강화되었다는 것이 율리히의 설명이다.

얼마나 많은 디바이스가 감염되었는지는 확실하지 않지만, 도이치 텔레콤은 지난 일요일 오후부터 자사의 2,000만 고객 중 90만 명 이상이 접속 문제를 겪었다고 밝혔다. 또 이번 공격이 라우터를 감염시키려 했지만, 실패했고, 이 과정에서 전체 라우터의 4~5%가 장애를 일으키거나 접속이 차단됐다고 설명했다.

하지만 율리히의 조사에 따르면, 새로운 미라이 변종 악성코드는 최소한 일부 라우터를 감염시키는 데 성공한 것으로 보인다. 율리히는 악성코드의 확산 상태를 추적하기 위해 하니팟으로 동작하는 웹 서버를 구축했다. 미라이는 일단 시스템을 감염시키고 나면 추가 희생자를 찾기 때문이다. 그리고 율리히는 허니팟으로 구축한 웹 서버를 감염시키려 시도하는 IP 주소 10만 개를 수집했다.

물론 미라이의 목표가 단순히 디바이스를 감염시키는 것은 아니다. 수천 대 디바이스의 제어권을 확보해 봇넷을 구성하면, 대규모 DDoS 공격에 사용할 수 있다. 지난 달 미국 주요 웹 사이트의 서비스 중단을 불러온 DDoS 공격이 대표적인 예이다.

율리히는 새 미라이 변종을 기반으로 한 DDoS 공격이 실행됐는지는 확인하지 못했다고 밝혔다. 하지만 도이치 텔레콤 고객들이 겪은 접속 문제는 악성코드가 라우터를 감염시키고 라우터의 컴퓨팅 성능을 이용해 다른 디바이스를 감염시키는 과정에서 발생한 것이라고 설명했다.

다행히 도이치 텔레콤은 권고문을 내고 고객들에게 감염을 제거할 수 있는 방법을 고지했다.

율리히는 아직 확인되지 않았을 뿐, 새 미라이 변종이 다른 회사나 서비스 업체의 라우터를 감염시켰을 가능성도 있다고 지적했다. 율리히는 쉽게 감염될 수 있는 라우터 제품을 100~200만 대로 추정했다.

자이젤은 아직 이번 사고에 대한 공식 논평을 내놓지 않고 있다.  editor@itworld.co.kr


2016.11.29

강화된 미라이 악성코드, 도이치 텔레콤 라우터 공격…가입자 100만 명 인터넷 접속 문제

Michael Kan | IDG News Service
사물 인터넷 디바이스를 노리는 새로운 악성코드 미라이의 새 버전이 독일 도이치 텔레콤의 취약한 인터넷 라우터를 공격했다.

도이치 텔레콤은 미라이 악성코드의 변종이 퍼져 자사 고객 약 100만 명이 인터넷 접속 문제를 겪었다고 밝혔다. 미라이는 이미 50만 대 이상의 인터넷 연결 기기를 감염시킨 것으로 알려져 있다.

하지만 이번에 문제를 일으킨 것은 한층 업그레이드된 미라이의 변종으로 드러났다. SANS 기술 연구소의 보안 연구원 요하네스 율리히는 이번 감염 사고를 일으킨 변종 미라이 악성코드는 자이젤(Zyxel)에서 만든 인터넷 라우터의 취약점만을 공격하도록 특별히 고안된 것이라고 밝혔다.

원래 미라이는 취약한 기본 로그인 패스워드를 사용하는 디바이스를 감염시키는 악성 코드로, 이런 디바이스를 찾아 60여 개의 패스워드 조합을 사용해 침입한다. 하지만 이번 변종은 여기에 자이젤의 라우터 제품군에 내장된 SOAP(Simple Object Access Protocol)의 취약점도 공격하도록 강화되었다는 것이 율리히의 설명이다.

얼마나 많은 디바이스가 감염되었는지는 확실하지 않지만, 도이치 텔레콤은 지난 일요일 오후부터 자사의 2,000만 고객 중 90만 명 이상이 접속 문제를 겪었다고 밝혔다. 또 이번 공격이 라우터를 감염시키려 했지만, 실패했고, 이 과정에서 전체 라우터의 4~5%가 장애를 일으키거나 접속이 차단됐다고 설명했다.

하지만 율리히의 조사에 따르면, 새로운 미라이 변종 악성코드는 최소한 일부 라우터를 감염시키는 데 성공한 것으로 보인다. 율리히는 악성코드의 확산 상태를 추적하기 위해 하니팟으로 동작하는 웹 서버를 구축했다. 미라이는 일단 시스템을 감염시키고 나면 추가 희생자를 찾기 때문이다. 그리고 율리히는 허니팟으로 구축한 웹 서버를 감염시키려 시도하는 IP 주소 10만 개를 수집했다.

물론 미라이의 목표가 단순히 디바이스를 감염시키는 것은 아니다. 수천 대 디바이스의 제어권을 확보해 봇넷을 구성하면, 대규모 DDoS 공격에 사용할 수 있다. 지난 달 미국 주요 웹 사이트의 서비스 중단을 불러온 DDoS 공격이 대표적인 예이다.

율리히는 새 미라이 변종을 기반으로 한 DDoS 공격이 실행됐는지는 확인하지 못했다고 밝혔다. 하지만 도이치 텔레콤 고객들이 겪은 접속 문제는 악성코드가 라우터를 감염시키고 라우터의 컴퓨팅 성능을 이용해 다른 디바이스를 감염시키는 과정에서 발생한 것이라고 설명했다.

다행히 도이치 텔레콤은 권고문을 내고 고객들에게 감염을 제거할 수 있는 방법을 고지했다.

율리히는 아직 확인되지 않았을 뿐, 새 미라이 변종이 다른 회사나 서비스 업체의 라우터를 감염시켰을 가능성도 있다고 지적했다. 율리히는 쉽게 감염될 수 있는 라우터 제품을 100~200만 대로 추정했다.

자이젤은 아직 이번 사고에 대한 공식 논평을 내놓지 않고 있다.  editor@itworld.co.kr


X