아마추어 해킹 집단 매트릭스, 별 다른 투자와 실력 없이 위협적인 디도스 공격 벌여

대단한 아마추어들이 나타났다. 이들은 스스로 공격 도구를 만들어 운영하고 있지는 않지만, 이미 인터넷 상에 있는 것들을 잘 모아서 활용할 줄 안다. 그리고 그걸 바탕으로 자신들의 사업까지 운영하기에 이르렀다.

[보안뉴스 문정후 기자] 매트릭스(Matrix)라는 신규 공격 단체가 광범위하게 디도스 공격을 실시하고 있는 현황이 발견됐다. 재미있는 건 이 매트릭스라는 단체가 기술적으로 그리 뛰어나지는 않아 보인다는 것이다. 그럼에도 이들의 디도스 공격은 상당히 위협적인데, 그렇게 될 수 있는 건 공격자들을 위한 도구를 누구나 쉽게 접할 수 있고, 사물인터넷 장비들이 취약하게 만들어져 있기 때문이라고 보안 업체 아쿠아노틸러스(Aqua Nautilus)는 강조하고 있다.

[이미지 = gettyimagesbank]

공격자들, 어떻게 처음에 접근했나
아쿠아노틸러스 측에서 파악한 바에 따르면 매트릭스의 주요 공격 방법은 크게 네 가지라고 한다.
1) 라우터의 취약점 익스플로잇 : ZTE 및 GPON 모델 등의 라우터를 대상으로 명령 주입 취약점(CVE-2017-18368)과 아카디언(Arcadyan) 펌웨어를 실행하는 여러 장치에 영향을 미치는 취약점(CVE-2021-20090)을 익스플로잇 한다.
2) DVR 및 카메라 공격 : Hi3520 플랫폼을 사용하는 감시 장치의 취약점을 이용하여 HTTP를 통해 무단 접근 및 명령 실행을 수행한다.
3) 통신 장비 및 사물인터넷 장치 공격 : 일부 리눅스 배포판을 실행하는 장치의 기본 설정 및 서비스를 악용한다. 화웨이(Huawei) 및 리얼텍(Realtek) 장치의 UPnP 취약점 역시 익스플로잇 한다.
4) 소프트웨어 시스템의 고급 취약점 : 아파치 하둡(Apache Hadoop)의 얀(YARN)과 휴지그래프(HugeGraph) 서버의 취약점을 익스플로잇 함으로써 원격 코드 실행 공격을 실시한다.

“이런 공격 기법들은 고급 기술이라고 하기 어렵습니다. 오히려 사소할 수 있는 실수나 허점들을 노리는 것이죠. 그러므로 기본적인 보안 실천 사항을 준수하면 막을 수 있습니다. 기본 크리덴셜 관리, 보안 프로토콜 강화, 펌웨어 업데이트 등의 단순 조치 사항들로서 충분히 방어가 가능하다는 뜻입니다. 반대로 그런 기본기들이 잘 실천되지 않기 때문에 매트릭스와 같은 아마추어들이 활개를 칠 수 있다는 뜻이기도 합니다.”

잘못된 설정과 비밀번호
매트릭스의 ‘아마추어’와 같은 공격이 통한 건 왜였을까? 아쿠아노틸러스는 약한 비밀번호와 잘못된 설정이라는 두 가지 구멍을 꼽았다. “공격자들은 사용자 이름과 비밀번호를 미리 조합한 후, 이를 활용해 무작위 대입 공격을 실시했습니다. 이 조합은 총 167개에 불과했습니다. 공격자들은 미리 스크립트를 짜서 이 167개 조합이 자동으로 대입되도록 했고, 이를 통해 취약한 서버나 사물인터넷 장치들이 봇넷에 알아서 추가되도록 했습니다. 일종의 웜처럼 자동으로 퍼져나가는 모습을 볼 수 있었습니다. 이 167개 조합의 대부분은 root이나 admin 계정과 관련이 있었습니다. 즉 관리자들 대부분 이런 기본적인 이름을 가지고 장비를 관리하고 있다는 걸 알 수 있습니다. 비밀번호들 역시 강도가 매우 낮은 것으로 평가됐습니다.”

오래된 취약점들을 익스플로잇 하는 사례도 있었다. “총 10개의 취약점이 특히 많이 익스플로잇 됐습니다. 이는 CVE-2022-30525, CVE-2022-30075, CVE-2018-10562, CVE-2018-10561, CVE-2018-9995, CVE-2017-18368, CVE-2017-17215, CVE-2017-17106, CVE-2014-8361으로, 무려 10년 전에 발견된 취약점도 섞여 있을 정도입니다. 수년 동안의 취약점 패치 기간이 주어졌음에도 패치가 적용되지 않아 익스플로잇 공격이 성립한 거라고 할 수 있습니다.”

이러한 기초적인 공격에 의해 가장 많은 피해를 입은 건 중국과 일본인 것으로 나타났다. 그 외에도 아시아 태평양 지역의 기업들에도 적잖은 피해 사례가 발견됐다. “초국가적인 대기업만이 아니라 지역 내 소규모 기업들도 공격의 대상이 됐습니다. 사물인터넷 장비가 주로 아태 지역에 광범위하게 도입되어 있기 때문인 것으로 추정됩니다. 흥미롭게도 러시아는 전혀 공격을 받지 않았는데, 흥미롭게도 현재 러시아와 전쟁 중인 우크라이나 역시 제외되어 있었습니다. 공격자들이 정치적 목적으로 공격을 하지는 않은 것으로 보입니다.”

누가 또 위험한가
매트릭스가 주로 취하는 공격 기법을 근거로 인터넷을 조사했을 때 꽤 많은 장비나 시스템들이 공격에 노출되어 있음을 알 수 있었다고 아쿠아노틸러스는 경고하기도 했다. “현재 인터넷에 연결된 장비들 중 약 3500만 개가 매트릭스의 공격에 당할 가능성이 있는 것으로 조사됐습니다. 하지만 이것도 특정 취약점이나 공격 기법을 기준으로 추리고 추린 결과일 뿐입니다. 실제 공격자들이 공격 범위 안에 둔 건 3500만 개보다 훨씬 많을 가능성이 높습니다.”

공격자들의 실력이 뛰어나지 않다는 걸 감안하면 3500만 대가 전부 감염될 거라거나, 전부 장악당하지는 않을 것이라고 생각할 수 있다. “하지만 이들의 성공률이 단 1%라도 된다면 어떨까요? 그러면 이들이 운영하는 봇의 수가 35만 대가 됩니다. 35만 대로 구성된 봇넷은 꽤 크다고 할 수 있습니다. 이걸로도 충분한 공격을 실시할 수 있죠. 공격자들이 5%만 성공하더라도 봇넷의 크기는 170만 대로 증가합니다. 이것으로는 강력한 디도스 공격이 가능합니다.”

공격에 활용된 자원들
매트릭스는 2023년 11월 자신의 공격 캠페인에 활용하기 위해 깃허브 계정을 개설한 것으로 조사됐다. 아쿠아노틸러스가 이 계정을 분석했을 때 다음과 같은 특징을 발견했다고 한다.
1) 개발에 사용된 언어 중 파이선이 40%를 차지한다. 그 다음 셸과 고가 각각 18%, 자바, 자바스크립트, 펄이 소량 사용됐다. 공격자들이 다양한 언어를 구사할 줄 아는 것으로 보이긴 하지만, 사실 이들이 활용한 도구 대부분은 다른 깃허브 계정이나 웹사이트에서 퍼온 것이었다. 스스로 개발한 건 거의 없었다.
2) 외부 리포지터리에 대한 포크(fork) 작업을 하는 대신 도구를 다운로드 해서 자신들의 로컬 드라이브에 저장한 뒤 수정하는 경향이 있었다. 커스터마이징을 어느 정도 할 수 있다는 뜻이지만, 스스로 뭔가를 창작하는 능력은 부족하다는 걸 보여준다. 전형적인 아마추어 해커들의 특징이다.
3) 이들의 작업은 95%가 평일에 이뤄졌다. 이들이 취미로, 밤 늦게 뭔가를 한 게 아니라 업무 시간을 정해놓고 작업을 한 것을 의미한다. 그래서인지 1년 동안 꾸준한 속도로 작업을 지속시키기도 했다. 이런 면에서는 조직적인 특징을 보여주기도 한다. 특히 스캐닝, 익스플로잇, 멀웨어 배포, 사물인터넷 장악과 관련된 도구들과 리포지터리 분석과 연구에 집중했다.

참고로 이들이 주로 활용한 리포지터리의 이름은 다음과 같다고 아쿠아노틸러스는 밝혔다.
1) scanner : 스캐닝 도구
2) gggggsgdfhgrehgregswegwe : 익스플로잇 도구
3) musersponsukahaxuidfdffdf : 멀웨어 배포 도구
4) DHJIF : IoT 장치 및 서버에 Mirai 및 기타 DDoS 관련 도구를 배포하기 위한 도구
5) qqq : 2월, 실험적으로 진행한 캠페인에서 사용된 도구
이 도구와 리포지터리들 모두 쉽게 접근해 구하고 연구할 수 있다는 특징을 가지고 있다.

매트릭스는 자신들이 마련한 깃허브 계정에 각종 디도스 공격 도구를 업로드 하기도 했는데, 상당수는 실제 공격에 활용된 것으로 확인도기도 했다. 그 도구들 중 중요한 것들은 다음과 같다.
1) 미라이(Mirai) : 사물인터넷 장비를 대상으로 하는 악명 높은 봇넷 멀웨어다.
2) 디도스에이전트(DDoSAgent) : 말 그대로 디도스 공격을 실시하는 도구다.
3) SSH스캔핵툴(SSH Scan Hacktool) : 잘못 설정된 SSH 접근 규정을 찾아내 공격을 수행하는 도구로, 일종의 스캐너라고도 할 수 있다.
4) 파이봇(PyBot) : 봇넷의 서버 컴포넌트를 나타내는 스크립트로 다수의 감염된 기기를 원격으로 제어한다.
5) 파이넷(Pynet) : 파이선 기반의 프레임워크로 윈도 및 리눅스 시스템에서 봇넷을 구축한다.
6) 디스코드고(DiscordGo) : 리눅스 시스템에서 디스코드 봇넷을 배포할 수 있게 해 준다.
7) HTTP/HTTPS플러드(HTTP/HTPS Flood) : 자바스크립트 기반의 스크립트를 통해 분산된 HTTP/HTTPS 플러드 공격을 구현한다.
8) 호모네트워크(The Homo Network) : 일각에서 2023년 최고의 디도스 봇넷이라는 칭호를 받았을 정도로 성능이 뛰어난 디도스 공격 도구이다.

이 도구들 모두 무료로 쉽게 구할 수 있다는 특징을 가지고 있다. “설명만 보면 혁신적이고 고도의 기능을 가진 도구로 보이지만 대부분 오픈소스이거나 오픈 프로젝트입니다. 누구나 가져갈 수 있고, 또 사용도 할 수 있는 기본적인 기술이라는 겁니다. 물론 이런 도구들을 효과적으로 커스터마이징 하고 공격 인프라에 통합하는 게 쉽지 않은 일이긴 하지만, 매트릭스에게 그 정도의 실력은 있었던 것으로 보입니다. 결국 현재의 아마추어 해커들의 실력이 공개된 자원을 최대한 효과적으로 활용할 줄 아는 데에까지는 이른 것으로 추정할 수 있습니다.”

아마추어 해킹 집단인 매트릭스는 이미 온라인 상에서 충분히 구할 수 있는 도구와 기술들을 써서 디도스 봇넷을 만들어 디도스 공격을 했을 뿐만 아니라, 자신들의 인프라와 디도스 공격 능력을 서비스로 전환시켜 판매하기도 했었다. “분석 끝에 저희는 크라켄오토바이(Kraken Autobuy)라는 텔레그램 봇의 존재를 확인할 수 있었습니다. 이 봇은 특정 디도스 서비스를 자동으로 판매하도록 설계되어 있었습니다. 구매자는 여러 가지 옵션 중 하나를 골라 구매할수 있었는데, 여기서 옵션이리나 공격 대상이나 공격 지속 시간 등에 따라 나뉘었습니다. 암호화폐로 결제가 가능했습니다.”

어떻게 대응해야 하는가
아쿠아노틸러스는 “매트릭스의 출현은 현대 해커들이 별 다른 기술 없이도 얼마든지 커다란 위협이 될 수 있다는 것을 보여준다”며 “디도스 공격은 이런 해커들의 등장으로 인해 더 심화되고 있다”고 평가하고 있다. “디도스 공격에 대해 간과하려는 경향들이 있는데, 그런 인식 밑에서 디도스 공격은 더 쉬워지고 있고 계속해서 진화하고 있기도 합니다. ‘누구나 할 수 있는 공격’이 되어가고 있다는 건데, 그렇다면 디도스는 더 이상 간과할 수 없는 유형의 공격이 됩니다.”

특히 아쿠아노틸러스는 공격자들이 구한 자원이 전부 인터넷에서 쉽고 간단하게 구할 수 있다는 것에 주목한다. “우리의 인터넷 공간에 공격 도구가 얼마나 많이 존재하는지, 그것을 알고 활용하는 아마추어 해커들의 실력이 얼마나 날카로워지고 있는지를 동시에 보여주는 사례입니다. 전문적인 해킹 집단에 대한 방어력을 키워가는 것도 중요하지만 이런 의외의 공격력에도 대응할 수 있어야 합니다. 그러려면 무엇보다 비밀번호나 취약점 관리와 같은 기본에 충실해야 하는데, 아직 그 부분에 있어서 우리는 많은 부족함을 가지고 있습니다.”

3줄 요약
1. 매트릭스라는 아마추어 해킹 단체, 디도스 사업 벌이고 있음.
2. 실력에 비해 각종 자원과 실수들이 인터넷에 넘쳐나고 있어 가능한 일.
3. 아마추어 해커들의 의외의 위협에 대응하려면 보안 기본기가 정말 중요.
[국제부 문정후 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)