세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
트럼프와 김정은 만날 때, 싱가포르는 최대의 공격 지대였다
  |  입력 : 2018-06-18 09:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
6월 11일부터 12일까지 21시간 동안...세계 곳곳에서 쏟아진 공격
러시아 IP에서 가장 많은 공격 나타나...VoIP 포트 겨냥한 공격 많아


[보안뉴스 문가용 기자] 6월 11일부터 6월 12일 사이, 싱가포르를 겨냥한 사이버 공격이 크게 늘어난 것으로 밝혀졌다. 이는 미국의 대통령 도널드 트럼프와 북한의 위원장 김정은이 만나 회담을 한 기간으로, 공격의 대부분은 러시아에서 시작된 것이라고 보안 업체 F5 랩스(F5 Labs)가 발표했다.

[이미지 = iclickart]


러시아는 미국에 대한 사이버 공격을 거의 항상 진행해온 국가로, 이번에 미국과 북한 사이에서 열린 정상회담을 러시아가 노렸다고 해서 이상할 것은 하나도 없다는 게 전문가들의 의견이다. 그렇다고 해도 F5가 밝힌 대로 이번 싱가포르 공격의 88%가 러시아에서 시작되었다는 건 놀랍다. 게다가 해당 기간 러시아에서 발생한 모든 공격의 97%가 싱가포르를 겨냥하고 있었다는 사실 역시 놀랄만한 일이다.

F5는 “이러한 공격이 국가의 지원을 받는 해커들의 소행이라는 것은 증명하기 힘들다”고 말한다. “하지만 하필이면 이 기간 미국과 북한의 최고 권력자들이 역사적인 만남을 가졌고, 하필이면 VoIP 전화기들과 사물인터넷 장비들이 집중적으로 공격을 받았다는 상황 자체만 보면 그냥 일반 해커들의 소행이라기 보는 게 더 억지스러울 정도입니다.”

F5에 따르면 초반 SIP 5060 포트를 겨냥한 공격이 브라질에서부터 시작됐다고 한다. 이 포트는 해당 기간 동안 가장 많은 공격을 받은 포트인 것으로 밝혀졌다. 이 포트는 IP 전화기 장비들이 통신을 평문으로 주고받는 데 사용된다. 이 초기 단계 공격은 약 두 시간 동안 지속됐는데, 이후 러시아의 IP 주소인 188.246.234.60에서부터 정찰용 스캔이 시작됐다. 이 IP는 러시아의 인터넷 호스팅 업체인 셀렉텔(Selectel)이 소유한 것으로 나타났다.

6월 11일과 12일 일어난 공격의 또 다른 표적은 텔넷 포트였다. 주로 사물인터넷을 노리는 공격과 관계된 것이었다. 그 외에는 SQL 데이터베이스용 포트인 1433번 포트, 웹 트래픽과 관련된 81번 및 8080번 포트, 미라이(Mirai)와 애니(Annie) 멀웨어가 주로 사용하는 7541번 포트, 하지메 봇넷이 사용했던 8291번 포트가 공격을 받았다.

공격은 6월 11일 오후 11시부터 6월 12일 오후 8시까지 21시간 동안 진행됐다. 이 시간 동안 약 4만 번의 공격이 발생했다. 이 중 92%는 취약한 기기를 찾는 스캐닝 행위였고 나머지 8%는 익스플로잇 공격이었다. “이 공격들의 대부분은 러시아의 IP 주소에서 발생한 것으로 나타났습니다. 그 다음으로는 중국, 미국, 프랑스, 이탈리아의 순이었습니다만 2.5~3배 정도 러시아보다 공격 빈도가 낮았습니다. 6위는 브라질이 차지했는데, 러시아를 제외하고는 SIP를 공격한 유일한 국가였습니다.”

이 21시간 동안 싱가포르는 세계 사이버 공격의 최고 표적이 됐다. 그것도 2위인 미국, 캐나다 등보다 4.5배나 많은 공격을 받았다. 싱가포르가 국경을 초월해 사이버 공격자들의 큰 관심을 받는 건 굉장히 드문 일로, 북미회담과 이 드문 현상이 같은 날로 겹쳤다는 것이 예사롭지 않다는 것이 F5의 분석이다. “또한 러시아 공격자들은 자신들의 행위를 감추려고 하지도 않았습니다. 심지어 러시아에서 나온 공격들에 멀웨어가 발견된 것은 한 건도 없었습니다.”

가장 많은 공격을 받은 건 SIP 포트 5060으로, 2위인 23번 텔넷 포트보다 약 25배 높은 수치를 기록했다. 5060번 포트에 대한 공격은 그리 흔하지 않은 일로, VoIP 서버나 전화기들을 주로 노린 것으로 분석된다. 텔넷 공격은 사물인터넷 장비를 침해하기 위한 것으로 보인다. “이 두 포트가 가장 많은 공격을 받은 건 공격자들이 통신 기록과 데이터를 수집하기 위한 것입니다.”

“국가가 지원한 해커들이 싱가포르를 집중적으로 노렸다고 결론을 내릴 수 있는 직접적인 증거를 찾을 수는 없었습니다. 하지만 모든 주변 정황의 증거들과, 러시아 정치적 활동과 관련된 상식들을 바탕으로 (러시아 정부와 관련된 해커들의 소행이라는 것을) 유추해볼 수는 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)