사물인터넷(IoT) 기기를 감염시켜 분산서비스거부(DDoS) 공격용 봇넷을 만드는 악성코드 '미라이(Mirai)'가 진화했다. 등장 초기엔 암호 관리가 허술한 인터넷 공유기나 네트워크 카메라를 감염 숙주로 삼았는데 지난달말 발생한 공격 사례에선 기기의 보안취약점을 파고들었다.
이제 감염을 막으려면 숙주가 될 장비의 공급업체나 이를 네트워크에서 운영하는 사업자가 소프트웨어(SW) 보안 패치를 배포해야 하는 상황이다. 개인의 노력만으로 미라이 감염 봇넷 구성과 DDoS 공격, 네트워크 장애와 같은 문제를 예방할 수 있는 단계를 지났단 얘기다. 주초 독일 국영통신사 '도이체텔레콤(Deutsche Telekom)' 회선가입자들이 인터넷 서비스 장애를 겪은 사례에서 파악된 내용이다.
도이체텔레콤은 지난달 27일 자사 회선가입자들의 라우터(초고속인터넷 모뎀)가 악성코드에 감염돼 2천만명 중 90만명 가량이 서비스에서 인터넷 접속 장애 현상을 일으켰다고 밝혔다. 당시 세계 각지 '메인터넌스 인터페이스'를 겨냥한 외부 네트워크 공격이 발생했는데, 이 외부 공격에 도이체텔레콤 가입자 90만명이 쓰는 라우터가 영향을 받은 결과 접속 장애가 나타났다는 설명이었다.
[☞참조링크: Information on current problems]
■도이체텔레콤 "라우터에 SW 업데이트 적용하시라"
도이체텔레콤은 외부 공격으로 가입자 2천만명 중 4~5% 가량만 문제를 겪는 데 그쳤다고 설명했다. 공격은 전체 회선가입자들의 라우터를 악성코드로 감염시키려다 '실패'한 사례라고 주장했다. 외부 공격 자체는 통신사 네트워크에 아무 영향을 주지 않았지만, 감염된 라우터의 동작이 가입자들에게 제공하는 서비스에 제한을 야기했다고 덧붙였다. 그리고 다음처럼 라우터에 SW 업데이트를 적용하라고 안내했다.
"… 영향을 받은 고객은 라우터를 재시작하기 위해 전원 공급을 일시 차단해야 한다. 재시작하면 라우터는 정상 작동할 것이다. 재시작한 라우터가 원상태로 돌아왔다면 악성코드 감염은 영구적인 게 아님을 뜻한다. 도이체텔레콤은 라우터 제조사와 함께 여기(웹사이트)에서 내려받을 수 있는 SW업데이트를 개발했다. 쉬운지원기능 서비스를 받는 고객들은 이미 영향받는 모든 기기에 자동업데이트를 받았을 거다."
도이체텔레콤의 공지에는 관련 언급이 없었지만, 미국 지디넷은 사건 발생 이튿날인 지난달 29일자 보도에서 국제보안기관 'SANS 인터넷스톰센터(ISC)' 수장 요하네스 B. 울리히(Johannes B. Ullrich) 박사 등 보안전문가들의 견해를 인용하며 도이체텔레콤 가입자 라우터를 공격한 게 악명높은 악성코드 미라이 개조 버전일 것이라고 추정했다. 다음은 울리히 박사의 분석 일부다.
[☞참조링크: Mirai botnet attack hits thousands of home routers, throwing users offline]
[☞참조링크: TR-069 NewNTPServer Exploits: What we know so far]
"도이체텔레콤은 공격에 악용된 취약점을 고친 펌웨어 업데이트를 배포했다. 공식 성명에 TR-069 표준 공격방식이 쓰였다고 밝히지 않았다. 하지만 모뎀 오작동 원인을 익스플로잇 코드 실행이 아닌 '코딩 에러'라고 표현했다. …(중략)… 우리는 독일에서 (인터넷) 장애가 발생할 즈음 7547번 포트 공격이 확연히 증가했음을 알아차렸다."
■장애 원인은 악성코드 미라이 개조 버전으로 추정
미국 지디넷은 도이체텔레콤 가입자 라우터를 공격하는 데 쓰인 익스플로잇 코드가 미라이 개조버전 악성코드로 추정된다고 썼다. 앞서 알려진 미라이의 특성과 유사한 부분이 있지만 감염 및 확산에 동원된 공격 기법에서 기존과 다른 점이 발견됐기 때문이다.
[☞관련기사: '소스' 풀린 IoT 악성코드, 디도스 연쇄 유발]
앞서 알려진 미라이 동작 방식은 제조사 출고당시 지정된 관리용 암호를 그대로 쓰는 등 관리가 허술한 장비를 감염시켜 잠복하면서 DDoS 공격용 봇넷에 가담케 하는 것이었다. 이번엔 특정 포트가 열려 있는 네트워크 장비를 감염시키고, 감염 및 확산 과정에서 가입자가 인터넷을 제대로 못쓰는 등 기기 관리자가 즉시 알아차릴 수 있고, 알아차리더라도 직접 대응하기 어려운 식으로 문제를 일으켰다.
도이체텔레콤 회선가입자 라우터는 대부분 '자이젤(Zyxel)'과 '스피드포트(Speedport)'에서 만든 것이다. 이들 제품은 초고속인터넷 산업계 표준 관리기구인 '브로드밴드포럼'에서 제정한 'TR-064' 및 'TR-069' 표준에 따라 7547번 포트를 연 채로 작동한다. 인터넷서비스 장애나 기술적인 문제 발생시 통신사가 원격 관리 및 유지보수를 할 때 이 포트를 쓰도록 하기 위해서다.
접속장애 영향을 받은 라우터들이 매 5분마다 공격용 익스플로잇 명령을 수신 중이었다. 이미 장비에 열려 있는 7547번 포트가 명령 수신 경로로 지명돼 있었다면 접속 장애 현상이 설명된다. 보도는 인터넷에서 검색 가능한 7547번 포트가 열린 기기는 4천만대 이상이라는 보안전문가 켄 화이트의 트위터 메시지도 인용해 전했다.
관련기사
- 우분투, '안전한 IoT' 해법될까2016.12.04
- '소스' 풀린 IoT 악성코드, 디도스 연쇄 유발2016.12.04
- 디도스를 부르는 공유기 계정-암호는?2016.12.04
- KISA, 무선인터넷공유기 취약점 제거 캠페인2016.12.04
이번 네트워크 공격 사례는 독일 지역에 그치지 않고 다른 유럽 지역에서도 동시다발적으로 발생한 것으로 파악됐다. 영국 IT미디어 더레지스터 보도에 따르면 영국과 아일랜드 등에서도 도이체텔레콤 회선가입자들이 겪은 문제와 비슷한 유형의 열린 포트를 이용한 취약점 공격 시도가 있었다고 한다.
[☞참조링크: 'Mirai bots' cyber-blitz 1m German broadband routers ? and your ISP could be next]
