IoT 취약점을 이용해 대규모 좀비 단말을 만들고, DNS 서비스 기업을 공격해 수많은 웹사이트를 마비시킨 초대형 디도스 공격이 발생하면서 보안업계에 비상이 걸렸다. 오랫동안 경고해 온 디도스 재앙이 현실화 된 것이다. 디도스 공격 동향과 방어 기술을 살펴본다.<편집자>
10월 21일 트위터, 넷플릭스, 레딧, 스포티파이, 박스, 핀터레스트, 페이팔 등 미국의 유명 인터넷 서비스와 정부기관의 웹사이트가 접속장애를 일으켰다. DNS 서비스 기업인 딘(Dyn)이 디도스 공격을 당하면서 DNS 서비스가 중단돼 발생한 것으로, 딘은 수많은 IoT 기기로부터 공격을 당했다.
이 공격은 ‘미라이(Mirai)’라는 IoT 이용 봇넷을 통해 진행된 것으로, 지난 9월 미국의 보안 전문가 브라이언 크렙스(Brian Krebs)의 블로그 크렙스온시큐리티(krebsonsecurity.com)에 무려 620Gbps 규모의 DDoS 공격을 일으킨 것이기도 하다. 당시 이 공격은 브라이언 크렙스가 포스팅한 글에 대한 보복성 공격이었으며, 개인이 운영하는 블로그에 600G가 넘는 초대형 공격을 단행했다는 점 때문에 업계의 이목을 끌었다.
미라이 봇넷을 만든 사람은 안나 센파이(Anna-senpai)라는 이름을 사용하고 있으며, 일본 애니메이션의 등장인물인 안나 니시코노미야를 프로필 이미지로 쓰고 있다. 미라이는 IoT를 감염시키는 봇넷으로, 관리자 계정과 비밀번호를 관리하지 않는 IoT 기기를 이용해 공격을 진행한다.
신기욱 F5코리아 상무는 “미라이는 IoT 기기를 좀비화해 대량의 트래픽을 유발시키는 것을 목적으로 하는 공격으로, 쉽고 저렴한 비용으로 대규모 공격을 성공시킬 수 있어 위험성이 높다”며 “공격에 이용된 IoT 기기는 타깃이 되는 웹사이트의 DNS 서버에 단순히 쿼리를 보내는 것 만으로 DNS를 다운시켜 목표 조직의 웹서비스를 중단시킬 수 있다. 관리되지 않는 IoT 기기를 장악하는 것은 쉬운 일이며, 감염된 기기가 또 다른 기기를 감염시키는 수법으로 공격자는 대규모 봇넷을 확보할 수 있다”고 설명했다.
]
관리되지 않는 IoT 기기 이용하는 공격 ‘심각’
봇넷 추적기관 멀웨어테크(MalwareTech)는 미라이에 감염된 디바이스가 12만대이며, 수준 3의 감염은 150만대에 이른다고 추정했다. 미라이는 10월 1일 악성코드가 공개됐으며, 이 시점을 계기로 감염된 기기는 폭발적으로 증가하고 있다. 공격자들은 새로운 변종 악성코드를 개발하고 있어 앞으로 더 심각한 공격이 발생할 것으로 예상된다.
미국 전역을 마비시킨 이번 공격에는 중국의 항저우 시옹마이 테크놀로지가 제조한 인터넷 카메라가 이용된 것으로 분석되고 있으며, 항저우 시옹마이는 자사 초기 제품 중 해킹이 쉬운 보안 취약점이 있다고 인정하며 430만대를 미국 시장에서 리콜하기로 결정했다.
공격 직후 윈드리버가 자사 블로그를 통해 미라이 공격을 분석한 글에서는 미라이에 감염된 기기들은 무작위로 인터넷에서 기본 인증 정보를 사용하는 열린 텔넷 포트가 있는 디바이스를 검색한 후 좀비로 감염시킨다고 설명했다. 감염된 디바이스는 다시 더 많은 대상을 찾기 위해 인터넷 검색을 시작한다. 일부 디바이스는 치료되거나 보호되지만, 대다수 디바이스는 감염된 상태 그대로 남게 되며, 이는 영구적으로 감염된 디바이스가 된다.
디바이스를 치료했다고 해도, 재감염시킬 수 있는 다른 감염된 디바이스에 대한 면역 상태로는 볼 수 없다. 감염된 많은 디바이스가 감염 제거를 위해 업데이트되지 않고 방치되기 때문이다.
윈드리버는 모든 디바이스를 조사해 치료하는 것이 최선이지만 현실적으로 불가능하기 때문에 IoT 기기 관리자와 소유자는 관리자 계정과 비밀번호를 유추하기 어려운 문자와 숫자 조합으로 바꾸고, 인증 정보를 강력한 암호화 대체하며, 불필요한 텔넷 접속을 차단하는 등의 조치를 취해야 한다고 밝혔다.
쉽게 통제 가능한 기기 늘어나며 볼륨공격 증가
얼마 전 까지 디도스는 애플리케이션 레이어를 공격하는 지능형 공격이 대세였으나, 최근 디도스는 미라이와 같은 대규모 볼륨공격이 늘어가고 있다. IoT와 같이 쉽게 대규모 봇넷을 만들어 운영할 수 있게 되면서 손이 많이 가는 애플리케이션 공격과 함께 볼륨공격도 동시에 진행하고 있는 것이다.
로날드 제토(Ronald Szeto) A10네트웍스 시니어 디렉터는 “기업들이 네트워크 대역폭을 크게 늘리고 있으며, 클라우드 서비스를 사용해 대규모 공격을 막을 수 있는 능력을 갖게 되자 공격자들은 애플리케이션 레이어 공격을 하면서 동시에 더 큰 규모의 디도스 공격을 진행하고 있다IoT 기기처럼 쉽게 제어권한을 획득할 수 있는 기기를 이용해 수백G 규모의 공격을 단행할 수 있게 됐다. 곧 테라급 규모 공격도 나올 것으로 보인다”고 말했다.
