전 세계에 30만대 IoT 기기를 감염시킨 대규모 봇넷 ‘하지메(Hajime)’가 발견됐다. 하지메는 다양한 IoT 기기를 감염시켜 봇넷을 만들었으며, 언제라도 서로 연동해 피해자 모르게 공격을 개시할 수 있다.
카스퍼스키랩은 27일 전 세계에 광범위하게 전파된 하지메 봇넷에 대한 조사 보고서를 발표했다. 아직 이 봇넷이 어떤 공격을 위해 만들어졌는지는 알려지지 않았다.
하지메는 ‘시작’을 뜻하는 일본어로, 이 악성 코드의 활동 징후가 처음 눈에 띈 것은 2016년 10월이었다. 그 이후로 하지메는 진화를 거듭하며 여러 새로운 유포 기술을 개발하고 있다. 이 악성 코드는 거대한 P2P 봇넷을 구축하는데, 이처럼 감염된 컴퓨터 여러 대가 분산되어 있는 조직적인 형태의 봇넷은 스팸 또는 DDoS 공격을 수행하는 데 사용할 수 있다.
그러나 하지메에는 공격 코드나 공격 기능은 없고 유포 모듈만 존재한다. 은밀하게 활동하는 지능형 악성 코드 계열의 하지메는 다양한 기술, 주로 기기 암호에 대한 무차별 대입 공격 기술을 사용하여 기기를 감염시킨 다음, 여러 가지 조치를 취하여 감염된 피해자에게 탐지되지 않도록 정체를 숨긴다. 그렇게 하여 기기가 봇넷의 일부가 되는 것이다.
디지털 비디오 레코더 주로 감염시켜
하지메는 특정 유형의 기기만 공격하는 것이 아니라 인터넷상의 모든 기기를 공격하는 것으로 보이지만, 그 중에서도 활동이 집중되는 기기는 있다. 공격 목표는 대부분 디지털 비디오 레코더인 것으로 밝혀졌으며 웹 카메라와 라우터가 그 뒤를 잇는다.
그러나 카스퍼스키랩 연구진에 따르면 GE, HP, 미국 우편서비스, 미 국방부를 비롯하여 다양한 개인 네트워크 등 하지메가 기피하는 네트워크 또한 존재한다.
감염원은 주로 베트남(20% 이상), 대만(약 13%), 브라질(약 9%) 및 한국(5.9%) 등이며(연구 시점 기준), 감염된 기기는 대부분 이란, 베트남, 브라질에 위치하고 있다.
카스퍼스키랩의 발표에 따르면 전반적으로 연구 기간 전체를 통틀어 하지메 구성을 공유하는 고유한 기기는 최소 29만7499개인 것으로 분석된다.
이창훈 카스퍼스키랩코리아 지사장은 “하지메와 관련하여 가장 흥미로운 점은 그 목적”이라며 “봇넷의 규모는 점점 더 거대해지고 있지만 목적이 무엇인지는 아직 알려진 바가 없다. 어떤 유형의 공격이나 추가적인 악성 코드 활동에서도 그 흔적이 드러나지 않고 있다. 그러나 그렇다 해도 IoT 기기를 소유하고 있다면 기기 암호에 대한 무차별 대입 공격이 어렵도록 사용하는 기기의 암호를 변경하고 가급적 제조사의 펌웨어를 항상 최신으로 업데이트하는 것이 좋다”고 말했다.
