숨바꼭질이라는 이름 가진 IoT 멀웨어, 다양한 기능 선보여

입력 : 2018-01-26 17:15

사물인터넷 기기들로 만든 봇넷, 디도스만 할 수 있는 게 아냐
엔드포인트 강화가 관건...미라이 이후 사물인터넷 공격 시도 급증

[보안뉴스 문가용 기자] 보안 업체 비트디펜더(Bitdefender)가 새로운 IoT 봇넷 멀웨어를 발견했다. 수일 만에 2만 대의 사물인터넷 장비를 감염시키는 데 성공할 정도로 위력적이라고 한다. 비트디펜더는 이 멀웨어를 숨바꼭질의 의미를 가지고 있는 ‘하이드 앤드 시크(Hide and Seek)’라 이름 붙였다.


하이드 앤드 시크 봇넷이 최초로 발견된 건 1월 10일이다. 당시는 한 한국 회사에서 제조한 IP 카메라 장비들을 집중적으로 공격하고 있었다. 그런데 며칠 만에 사라졌다. 그러더니 1월 20일 하이드 앤드 시크의 새로운 변종이 나타났다. 현재까지 2만 대가 넘는 사물인터넷 기기들을 전 세계적으로 감염시키고 있다.

하이드 앤드 시크 멀웨어의 기능은 데이터 탈취, 코드 실행, 기기 성능 저하다. C&C 서버와의 통신 구조는 매우 복잡하고 탈중앙화 되어 있다. 그래서 하이재킹이나 방해, 추적이 어렵다. 익스플로잇 하는 취약점은 CVE-2016-10401이 대표적이다.

이 멀웨어에는 IP 주소를 무작위로 생성하는 기능이 있다. 이걸 바탕으로 ‘웜’처럼 퍼져나갈 수 있다고 비트디펜더는 설명한다. 또한 특정 포트(23, 2323, 80, 8080)에 대한 로우 소켓(raw socket) SYN 연결을 모든 호스트와 성립시킨다. 연결이 되고 나면 제일 먼저 특정 배너(buildroot login:)를 검색해 미리 저장되어 있는 크리덴셜을 대입함으로써 로그인을 시도한다. 성공하지 못할 경우 사전 공격(dictionary attack)을 시도한다.

여기까지 성공했다면 멀웨어는 자신이 침해한 기기에 대한 정확한 정보를 수집한다. 기기에 맞는 정확한 공격법을 발휘하기 위해서다. 다양한 익스플로잇 기술은 디지털 서명된 메모리에 저장되어 있다. 누군가의 원치 않는 간섭을 최대한 방지하면서 원격 업데이트를 용이하게 만든다. 하지만 지속성과 관련된 기술이 없다는 치명적인 단점이 있다. 즉, 기기를 껐다 켜면 감염이 해제된다는 것이다.

탈중앙화 된 P2P 통신 아키텍처를 사용하는 사물인터넷 봇넷 멀웨어는 하지메(Hajime) 이후 하이드 앤드 시크가 두 번째다. 다만 하지메는 비트토렌트 프로토콜을 기반으로 한 P2P 기술을 활용하고 하이드 앤드 시크는 개발자들이 자체 개발한 P2P 통신 메커니즘을 사용하고 있다.

비트디펜더의 수석 위협 분석가인 보그단 보테자투(Bogdan Botezatu)는 하이드 앤드 시크의 공격 원리를 이렇게 정리한다. 1) 표적 시스템의 포트를 무작위로 연다. 2) 방화벽 규칙을 추가해 인바운드 트래픽을 허용하도록 만든다. 3) 열린 포트로의 연결을 감시(listen)한다. 4) 그래서 특정 명령만 통과시킨다. 하이드 앤드 시크와 호환되는 명령어도 다양해 환경설정을 조작하거나 데이터를 빼내거나 기기 요소들을 스캔하는 등 다양한 행동이 가능하게 된다.

사물인터넷 기기들을 감염시켜 봇넷을 만드는 종류의 공격은 미라이 때부터 본격적으로 시작됐다. 그러나 여태까지 사물인터넷 봇넷은 디도스 공격에 활용되는 것이 거의 전부였다. 하이드 앤드 시크의 차별점은 디도스 공격 외에 정보 탈취와 감시 기능까지도 가지고 있다는 것이다. 게다가 확장성도 빠르고, 잦은 업데이트도 이뤄진다는 강점도 보유하고 있다.

보안 업체 임퍼바(Imperva)의 보안 연구원인 나다브 아비탈(Nadav Avital)은 해외 매체와의 인터뷰를 통해 “IoT 기기들에 대한 인기가 높아지면서, 사이버 범죄자들의 관심도 증가하고 있다”고 경고한 바 있다. 그러면서 “2017년에 발생한 사물인터넷 공격 횟수는 2016년의 그것의 두 배를 넘는다”고 설명했다.

취약한 사물인터넷 장비들이 일으키는 위협의 가짓수가 점점 늘어나고 있는 가운데 엔드포인트 강화에 대한 고민이 깊어지고 있다. 비트디펜더의 보테자투는 “사물인터넷 제조사들의 보안 인식 제고가 필요하지만, 보안을 전문으로 하는 기업이 아니기 때문에 단기간 내에 뭔가가 크게 변하진 않을 것”이라고 말한다. “보안 업계의 과제일 수밖에 없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 2

  지정학적 위기가 고조되는 가운데 CISO가 ...

• 3

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 4

  [이슈인터뷰] KAIST 최양규 교수 “세계...

• 5

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...