세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
트럼프와 김정은 만날 때, 싱가포르는 최대의 공격 지대였다
  |  입력 : 2018-06-18 09:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
6월 11일부터 12일까지 21시간 동안...세계 곳곳에서 쏟아진 공격
러시아 IP에서 가장 많은 공격 나타나...VoIP 포트 겨냥한 공격 많아


[보안뉴스 문가용 기자] 6월 11일부터 6월 12일 사이, 싱가포르를 겨냥한 사이버 공격이 크게 늘어난 것으로 밝혀졌다. 이는 미국의 대통령 도널드 트럼프와 북한의 위원장 김정은이 만나 회담을 한 기간으로, 공격의 대부분은 러시아에서 시작된 것이라고 보안 업체 F5 랩스(F5 Labs)가 발표했다.

[이미지 = iclickart]


러시아는 미국에 대한 사이버 공격을 거의 항상 진행해온 국가로, 이번에 미국과 북한 사이에서 열린 정상회담을 러시아가 노렸다고 해서 이상할 것은 하나도 없다는 게 전문가들의 의견이다. 그렇다고 해도 F5가 밝힌 대로 이번 싱가포르 공격의 88%가 러시아에서 시작되었다는 건 놀랍다. 게다가 해당 기간 러시아에서 발생한 모든 공격의 97%가 싱가포르를 겨냥하고 있었다는 사실 역시 놀랄만한 일이다.

F5는 “이러한 공격이 국가의 지원을 받는 해커들의 소행이라는 것은 증명하기 힘들다”고 말한다. “하지만 하필이면 이 기간 미국과 북한의 최고 권력자들이 역사적인 만남을 가졌고, 하필이면 VoIP 전화기들과 사물인터넷 장비들이 집중적으로 공격을 받았다는 상황 자체만 보면 그냥 일반 해커들의 소행이라기 보는 게 더 억지스러울 정도입니다.”

F5에 따르면 초반 SIP 5060 포트를 겨냥한 공격이 브라질에서부터 시작됐다고 한다. 이 포트는 해당 기간 동안 가장 많은 공격을 받은 포트인 것으로 밝혀졌다. 이 포트는 IP 전화기 장비들이 통신을 평문으로 주고받는 데 사용된다. 이 초기 단계 공격은 약 두 시간 동안 지속됐는데, 이후 러시아의 IP 주소인 188.246.234.60에서부터 정찰용 스캔이 시작됐다. 이 IP는 러시아의 인터넷 호스팅 업체인 셀렉텔(Selectel)이 소유한 것으로 나타났다.

6월 11일과 12일 일어난 공격의 또 다른 표적은 텔넷 포트였다. 주로 사물인터넷을 노리는 공격과 관계된 것이었다. 그 외에는 SQL 데이터베이스용 포트인 1433번 포트, 웹 트래픽과 관련된 81번 및 8080번 포트, 미라이(Mirai)와 애니(Annie) 멀웨어가 주로 사용하는 7541번 포트, 하지메 봇넷이 사용했던 8291번 포트가 공격을 받았다.

공격은 6월 11일 오후 11시부터 6월 12일 오후 8시까지 21시간 동안 진행됐다. 이 시간 동안 약 4만 번의 공격이 발생했다. 이 중 92%는 취약한 기기를 찾는 스캐닝 행위였고 나머지 8%는 익스플로잇 공격이었다. “이 공격들의 대부분은 러시아의 IP 주소에서 발생한 것으로 나타났습니다. 그 다음으로는 중국, 미국, 프랑스, 이탈리아의 순이었습니다만 2.5~3배 정도 러시아보다 공격 빈도가 낮았습니다. 6위는 브라질이 차지했는데, 러시아를 제외하고는 SIP를 공격한 유일한 국가였습니다.”

이 21시간 동안 싱가포르는 세계 사이버 공격의 최고 표적이 됐다. 그것도 2위인 미국, 캐나다 등보다 4.5배나 많은 공격을 받았다. 싱가포르가 국경을 초월해 사이버 공격자들의 큰 관심을 받는 건 굉장히 드문 일로, 북미회담과 이 드문 현상이 같은 날로 겹쳤다는 것이 예사롭지 않다는 것이 F5의 분석이다. “또한 러시아 공격자들은 자신들의 행위를 감추려고 하지도 않았습니다. 심지어 러시아에서 나온 공격들에 멀웨어가 발견된 것은 한 건도 없었습니다.”

가장 많은 공격을 받은 건 SIP 포트 5060으로, 2위인 23번 텔넷 포트보다 약 25배 높은 수치를 기록했다. 5060번 포트에 대한 공격은 그리 흔하지 않은 일로, VoIP 서버나 전화기들을 주로 노린 것으로 분석된다. 텔넷 공격은 사물인터넷 장비를 침해하기 위한 것으로 보인다. “이 두 포트가 가장 많은 공격을 받은 건 공격자들이 통신 기록과 데이터를 수집하기 위한 것입니다.”

“국가가 지원한 해커들이 싱가포르를 집중적으로 노렸다고 결론을 내릴 수 있는 직접적인 증거를 찾을 수는 없었습니다. 하지만 모든 주변 정황의 증거들과, 러시아 정치적 활동과 관련된 상식들을 바탕으로 (러시아 정부와 관련된 해커들의 소행이라는 것을) 유추해볼 수는 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)