세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
IoT 장비 27만대, UPnP 취약점 때문에 봇넷에 편입돼
  |  입력 : 2018-12-03 17:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
통신 원활케 해주는 프로토콜, 취약하게 구현돼 장비 무방비로 노출시켜
최종 페이로드 나오지 않아 공격자 의도 파악 불가...아직은 봇넷 편입만


[보안뉴스 문가용 기자] 27만 대가 넘는 사물인터넷 장비들에 구현된 UPnP가 취약하다는 보고서가 보안 업체 아카마이(Akamai)에 의해 발표됐다. 이 취약점을 공략하면 기기들을 다목적 봇넷에 편입시킬 수 있게 된다고 아카마이는 경고했다.

[이미지 = iclickart]


아카마이가 지칭하는 봇넷은 유피엔프록시(UPnProxy)라고 불리는데, 올해 4월에 처음 세상에 공개된 것이다. 당시 이미 6만 5천여 대의 장비들을 감염시킨 바 있다고 보고됐다. 하지만 최근 캠페인이 다시 시작됐고, UPnP NAT을 주입하는 캠페인을 통해 4만 5천여 대의 장비가 침해된 것으로 확인되고 있다.

UPnP 프로토콜이란 LAN으로 연결된 장비들 간 통신을 보다 더 원활하게 만들기 위해 만들어진 것이지만 10년도 넘게 취약하다는 평가를 받아왔다. 이렇게 취약한 UPnP를 구현시키면 권한이 있는 사용자들이나 신뢰 인증을 통과한 장비들에만 허락된 서비스가 노출된다.

아카마이에 의하면 현재 전 세계에는 취약점을 잠재적으로 내포하고 있는 장비가 350만대가 넘게 있다고 한다. 이중 27만대 정도는 위에서 언급한 유피엔프록시 봇넷에 감염된 것으로 나타났다. 또한 유피엔프록시 봇넷은 현재 최소 4만 5천 대의 기기들을 침해한 것으로 집계되고 있다. 하지만 공격은 계속되고 있기 때문에 아카마이는 “더 많은 기계들이 침해당할 것”이라고 경고했다.

이전에 유피엔프록시가 발견됐을 때 전문가들은 “이 봇넷은 라우터를 침해하고, 그 뒤에 있는 장비들까지 감염시킬 수 있을 것”이라고 예상했는데, 그 일이 실제로 일어나고 있다고 아카마이는 언급하기도 했다.

“일반 가정 사용자들의 경우 유피엔프록시 공격에 당하면 여러 가지 난감한 상황에 봉착할 수 있습니다. 일단 여러 장비들의 서비스가 크게 느려질 수 있고, 멀웨어에 감염돼 기능이 마비될 수도 있습니다. 랜섬웨어에 걸릴 수도 있고 여러 사기 범죄에 휘말릴 수도 있죠. 기업은 어떨까요? 인터넷에 노출되면 안 되는 장비들이 노출되어 있다는 뜻이 됩니다. 즉, 사용자나 관리자가 안심하고 있는 부분이 공략당할 수 있게 된다는 것입니다.”

또한 아카마이는 현재 유피엔프록시에 감염된 장비들이 이전에도 익스플로잇 캠페인에 당했다는 걸 강조한다. “윈도우와 리눅스 시스템을 노린 캠페인들에 당한 적이 있던 장비들이 상당 부분을 차지하고 있었습니다. 특히 TCP 포트 139와 445번을 노리는 공격에 취약했던 장비들이 이번 유피엔프록시 캠페인에 또 당하고 있는 모양새입니다.”

아카마이는 최근 발견된 유피엔프록시 봇넷 감염 캠페인을 이터널사일런스(EternalSilence)라고 부르기 시작했다. “이터널사일런스는 취약한 라우터들 너머에 있는 수백만 대의 장비들을 감염시키고 있습니다. 이 때 주로 익스플로잇 되는 취약점은 이터널블루(EternaBlue, CVE-2017-0144)와 이터널레드(EternalRed, CVE-2017-7494)입니다.”

이번 캠페인이 처음 발견된 건 11월 7일의 일이다. 하지만 거의 한 달이 지난 지금까지도 최종 페이로드가 발견되지 않았다. 즉, 봇넷에 의해 여러 장비가 감염되는 데까지만 발견됐지, 그 감염된 장비로 공격자가 하고자 하는 일이 무엇인지는 알 수가 없다는 것이다. “랜섬웨어 공격을 하기 위한 것일 수도 있고, 백도어를 심기 위한 것일 수도 있습니다. 가능성은 무궁무진합니다.”

침해된 장비들의 고유 IP 주소들을 전부 기록한 연구원들은 총 45,113개의 라우터들에서 UPnP NAT 주입 흔적을 발견할 수 있었다. 이 라우터들을 통해 공격자들에게 노출된 사물인터넷 장비들은 170만 대였다. “이 숫자는 ‘노출된 숫자’만이지, 이터널블루나 이터널레드가 성공적으로 익스플로잇 됐다는 뜻은 아닙니다. 그 여부는 알 수 없습니다. 그러나 아주 작은 일부만이 침해됐다고 해도 심각한 일입니다.”

공격은 표적형으로 보이지 않는다. “공격자들은 인터넷 전체를 스캐닝해서 취약한 부분을 찾고, 무작위로 공격을 실시하는 것 같습니다. 최종 페이로드가 발견돼서 공격자들의 의도를 보다 명확히 알게 되면 퍼즐들이 더 완전하게 맞춰질 것으로 보입니다.”

3줄 요약
1. UPnP는 LAN으로 연결된 장비들 간 통신을 원활하게 해주는 프로토콜.
2. 이 프로토콜의 취약점 통해 라우터를 침해하고, 이를 통해 여러 기계들을 봇넷에 감염시키는 공격 발견됨.
3. 이 봇넷의 이름은 유피엔프록시이지만, 최종 페이로드 발견하지 못해 아직 공격자 의도 파악하기 어려움.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술