‘오래된’ 오픈SSH 취약점과 ‘최신’ IoT 결합...신종 사이버공격 공포

보안 패치 적용 어려운 사물인터넷 특성 악용
CCTV, 위성안테나, 네트워크 장비 등 ‘쇼다운 프록시’ 취약점 공격에 노출

[보안뉴스 권 준 기자] 최근 사물인터넷(IoT) 기기를 악용한 것으로 추정되는 디도스 공격으로 미국의 인터넷 도메인 서비스 업체인 딘(Dyn)이 일시 마비되는 사건이 발생했다. 이로 인해 트위터, CNN, 레딧, 옥타 등 미국 동부지역의 근거지를 두고 있는 메이저 웹사이트들에서 장애가 발생한 가운데 IoT 특성을 악용한 새로운 공격 연구결과가 발표되어 이목이 집중되고 있다.

▲ 여러분 주변에 설치된 CCTV, 공유기, 네트워크 기기가 이렇게 바뀔 수 있습니다.

아카마이 위협 연구팀(Akamai Threat Research)의 오리 시걸(Ory Segal)과 에즈라 캘텀(Ezra Caltum) 연구원은 12년 전 발견된 오픈SSH의 취약점을 악용, IoT 기기를 통해 원격으로 공격 트래픽을 유발하는 공격 기법이 잇따라 발생했다고 밝혔다. 이 오픈SSH는 ‘쇼다운 프록시(SSHowDowN Proxy)’라는 이름으로 알려졌다.

이번 공격은 새롭게 발견된 취약점이나 새로운 공격 기법 때문이 아니라 인터넷 연결 기기의 기본 설정 대부분이 취약하기 때문에 발생한 것으로 드러났다. 공격자들은 이 같은 기기를 이용해 대규모 공세를 펼친다.

아카마이 위협 연구팀에 따르면 △CCTV, NVR, DVR 장비(비디오 감시 장비) △위성 안테나 △네트워킹 장비(라우터, 핫스팟, WiMax, 케이블, ADSL 모뎀 등) △인터넷에 연결된 NAS 장비 등이 쇼다운 프록시 공격에 노출돼 있다.

공격에 노출된 기기는 HTTP, SMTP 네트워크 스캐닝과 같은 다양한 인터넷 접속 서비스 및 여러 인터넷 디바이스를 대상으로 하는 공격, 인터넷에 연결된 기기를 호스팅하는 내부 네트워크를 겨냥한 공격 등에 사용된다. 공격자가 웹 관리 콘솔 접속에 성공하면 기기 데이터를 조작하고 심지어 시스템 전체를 장악할 수도 있다.

아카마이 위협 연구팀 수석 디렉터 오리 시걸은 “디도스(DDoS)와 웹 공격이 패치가 불가능한 사물인터넷의 등장과 함께 새로운 국면으로 접어들고 있다. 새로운 기기가 공장에서 출고되는 순간부터 취약점에 노출되어 있고 이를 해결할 뚜렷한 방법도 없다”며, “IoT 기기가 공격에 악용될 수 있다는 점은 지난 몇 년 동안 이론상으로만 가능했지만 이제는 현실화되고 있다”고 밝혔다.

오픈SSH의 취약점을 이용한 공격에 대응하려면 다음과 같은 조치가 필요하다는 게 아카마이 위협 연구팀 측의 설명이다. 먼저 기기에 SSH 암호 또는 키 변경 기능이 있는 경우 벤더가 제공한 기본값에서 다른 값으로 변경해야 한다.

두 번째로, 기기에 파일 시스템으로 직접 접근하는 기능이 있는 경우 글로벌 sshd_config 파일에 ‘AllowTcpForwarding No’를 추가해야 한다. 이와 함께 ‘no-port-forwarding’ 및 ‘no-X11-forwarding’을 각 사용자의 ~/ssh/authorized_ keys 파일에 추가할 필요가 있다.

앞서 두 가지 옵션을 사용할 수 없거나 일반적인 작업에 SSH 접근이 필요 없는 경우 기기의 관리 콘솔을 사용해 SSH를 전면 비활성화해야 한다.

마지막으로, 기기가 방화벽 내 존재하는 경우에는 외부 네트워크에서 IoT 기기의 22번 포트로 유입되는 인바운드 연결을 비활성화하거나 작동에 필요한 최소한의 포트와 IP 주소를 제외하고 IoT 기기의 모든 아웃바운드 연결을 비활성화해야 한다.
[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)