“IoT 이용한 디도스 ‘미라이’, 150만대 기기 동원할 수 있다”
상태바
“IoT 이용한 디도스 ‘미라이’, 150만대 기기 동원할 수 있다”
  • 김선애 기자
  • 승인 2016.10.25 09:59
  • 댓글 0
이 기사를 공유합니다

윈드리버 “IoT 악용 공격 막기 위해 암호화 인증·시큐어부팅 기술 필요”

IoT 기기에 봇을 심어 대규모 디도스 공격을 시도하는 미라이(Mirai)가 지난 주말 미국의 주요 기관을 마비시키면서 보안시장의 뜨거운 감자로 떠올랐다. 미라이는 지난 9월 보안블로거 브라이언 크렙스(Brian Krebs)가 운영하는 블로그 크렙슨시큐리티(krebsonsecurity.com)에 초대규모 공격을 단행하면서 주목받기 시작했는데, 지난 주말에는 트위터, 넷플릭스 등 미국 주요 IT 기업과 정부기관 1200여개 사이트를 마비시키는데 성공한 것이다.

봇넷 추적기관 멀웨어테크가 분석한 바에 따르면 이번 공격에 이용된 디바이스는 무려 12만대에 이르고 잇으며, 150만대에 이르는 기기들이 공격에 이용될 가능성이 높은 것으로 나타났다.

미라이를 통해 IoT 기기가 공격에 이용됐을 때 얼마나 강력한 힘을 가질 수 있는지 현실로 체감한 만큼, IoT에 대한 보안 대응 능력이 시급히 요구되고 있다. 윈드리버는 25일 자사 블로그를 통해 미라이 바이러스의 감염 경로 및 제거 방안과 대처법을 소개했다.

▲미라이 봇넷에 감염된 디바이스

모든 IoT 디바이스 전수조사는 불가능

윈드리버에 따르면 미라이에 감염된 디바이스는 무작위로 인터넷에서 기본 인증 정보를 사용하는 열린 텔넷 포트가 있는 디바이스를 검색한다. 이러한 디바이스를 찾으면 이를 좀비로 감염시키고, 감염된 디바이스는 다시 더 많은 대상을 찾기 위해 인터넷 검색을 시작한다. 일부 디바이스는 치료되거나 보호되지만, 대다수 디바이스는 감염된 상태 그대로 남게 되며, 이는 영구적으로 감염된 디바이스가 된다.

디바이스를 치료했다고 해도, 재감염시킬 수 있는 다른 감염된 디바이스에 대한 면역 상태로는 볼 수 없다. 감염된 많은 디바이스가 감염 제거를 위해 업데이트되지 않고 방치되기 때문에 심각한 상황을 초래할 수 있다.

미라이에 대응하기 위해서는 모든 디바이스를 전수조사해 감염된 디바이스를 치료해야 하지만, 현실적으로 이는 불가능한 방법이다. 대부분의 디바이스 소유자는 디바이스가 감염되었는지도 모르고, 치료할 기술이나 능력이 없거나, 자신에게 직접 해를 입히는 것도 아니므로 해결할 의지도 없는 경우가 많다.

미라이 신변종 나타나며 더 심각한 위협 될 것

미라이 바이러스의 약점은 새롭게 감염된 디바이스가 명령 및 제어 서버를 통해 등록해 지침을 다운로드 해야 한다는 점이다. 즉 감염된 디바이스가 아니라 감염된 서버를 필요로 하므로, 명령 및 제어 서버를 제거하면, 바이러스의 확산을 제한할 수 있다.

최근의 IoT 디도스 공격에 대응해 크렙슨시큐리티는 호스팅 회사를 변경했다. 디도스 공격은 새로운 것이 아니므로, 대상을 옮기는 것과 같이 이에 대응하여 위험을 완화할 수 있다.

하지만 궁극적인 해결 방법은 현재 감염되었거나 감염되었을 가능성이 있는 모든 디바이스를 치료하는 것인데, 이는 현실적으로 불가능하므로 감염을 완전히 제거할 수는 없다.

윈드리버는 미라이가 아니더라도, 자체적으로 전파되는 몇몇 멀웨어가 개발돼 IoT 디바이스를 감염시킬 수 있다고 전망했다. 미라이의 소스 코드가 공개돼 후속 바이러스의 개발이 가속화되었기 때문이다. 또한 명령 및 제어 서버에 대한 의존성이 없어질 것도 예상할 수 있으며, 이러한 진화가 일어나면 바이러스의 제거는 더욱 어려워 질 것이라고 예측했다.

IoT, 아군도 공격할 수 있다

이번 바이러스는 디도스 공격에 집중했지만, 다음에 등장할 멀웨어는 IoT 디바이스를 감염시켜 좀비 IoT 디바이스로 만든 후, 같은 네트워크에 있는 다른 시스템을 공격할 수도 있다.

윈드리버의 국내 산업 시장 및 IoT 사업 부문을 총괄하는 이주연 차장은 “IoT 좀비가 만연한 세상은 충분히 예측 가능한 미래이다. 이를 피하고 격리하는 것도 가능하겠지만, 네트워크가 변하고 새로운 디바이스가 배포되면 노출될 새로운 경로도 다시 열리게 된다. 감염으로부터 디바이스의 면역력을 키우는 것이 중요하다”고 말했다.

윈드리버는 면역을 위한 첫 단계로 알려진 감염의 방식을 없애는 것을 제안했다. 텔넷과 같이 불필요한 서비스를 제거하거나 차단하고, 기본 인증 정보를 강력한 암호로 대체하고, 외부 엔드포인트로의 예상하지 못한 연결을 차단해야 한다.

앞으로의 미래를 예측했을 때, 면역을 위한 두 번째 단계 또한 필수적이다. 진화된 바이러스가 악용할 수 있는 취약점을 보호하는 것으로, 가장 위험한 25가지 CWE/SANS 소프트웨어 오류와 같은 도구를 유용하게 활용할 수 있다.

이와 함께 윈드리버 또한 디바이스 면역력 강화를 위해 자사의 사물인터넷 플랫폼을 통해 다중 계층, 사전 통합 방어 기능을 제공한다.

- 감염된 실행 코드로부터의 보호를 위한 안전한 부팅(Secure boot) 및 초기화

- 인증 정보와 기타 민감한 정보를 보호하기 위한 유휴 데이터 암호화

- 위조 엔드포인트와 악성 연결 시도로부터의 보호를 위한 양방향 인증

- 민감한 정보를 보호하기 위한 통신 암호화

- 권한 에스컬레이션을 방지하기 위한 OS 기능 강화

- 예상하지 못한 외부 액세스와 외부 세상으로의 연결을 차단하는 방화벽

- 인증된 변경 내용을 그대로 지원하면서 변화하는 멀웨어를 차단하기 위한 보안 업데이트

이러한 방어 기능이 고객의 요구의 맞춰 구성 가능한 운영 체제 시스템에 통합되어 있어, 디바이스에서 불필요한 서비스를 제외시킬 수 있다. 이를 통해 감염으로 인해 디바이스에 문제가 발생할 수 있는 가능성을 원천 차단해 디바이스에 강력한 방어 기능을 갖출 수 있다.

또한 윈드리버는 보안 인증 정보를 만들고 배포하며, 하드웨어 보안 기능을 최적화하고, 보안 위협을 평가하고 보안을 테스트 하기 위한 도구와 프로세스를 비롯해 디바이스에 필요한 제품의 평가와 최적화를 위한 전문 서비스 조직을 운영하고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.