스마트폰, 스마트TV, 스마트카 등 모든 기기가 인터넷으로 연결돼 서로 상호작용하는 사물인터넷(IoT) 시대에 해당 시스템을 구동하는 리눅스 운영체제(OS)를 노린 웜이 발견됐다.
2일 시만텍 보고서에 따르면 리눅스 기반 환경에서 작동하는 웜은 무선랜카드, 셋톱박스, 보안용 IP카메라 등을 공격할 수 있다. 해당 기기들은 리눅스 등 임베디드OS 환경에서 작동한다.
'리눅스 달로즈'라고 명명된 웜은 PHP취약점(CVE-2012-1823)을 악용해 다른 기기들로 확산된다. 해당 취약점 지난해 5월 패치가 발표됐다. 그러나 공격자들은 지난 10월 개념증명(POC)용 코드를 활용해 새로운 웜을 만들어 냈다.
리눅스 달로즈는 임의 IP주소를 만들어 낸 뒤 흔히 사용되는 ID, 비밀번호를 입력해보는 방법으로 특정 기기에 접속을 시도한 뒤 HTTP POST 응답을 요청한다. 이 과정에서 PHP취약점이 악용된다.
HTTP에서는 클라이언트와 서버 간 의사소통을 위해 메소드라는 명령어들을 사용한다. POST는 이 중 클라이언트가 웹서버에 데이터를 전달하는 방법 중 하나다.
만약 공격자가 패치를 하지 않은 상황이라면 악성 서버로부터 웜을 다운로드 받아 실행한 뒤 다른 공격 대상을 찾는다. 현재 이 웜은 인텔 x86 시스템에만 감염을 시도하는 것으로 나타났다. 공격용 악성코드가 담긴 URL에 인텔 아키텍처에서 사용되는 'ELF 바이너리'가 발견됐기 때문이다. 공격을 받은 기기는 제대로 작동이 이뤄지지 않는다.
리눅스는 다양한 아키텍처에 사용되는 오픈소스 OS로 알려졌다. 이에 따라 PC 외에도 인텔 기반 칩을 탑재한 무선랜, 셋톱박스, 보안용 IP카메라 등 기기에도 포팅할 수 있다. 해당 기기들은 설정과 모니터링을 위해 아파치 웹서버, PHP서버 등 웹 기반 사용자 인터페이스를 제공한다.
시만텍에 따르면 공격자들은 ARM, PPC, MIPS, MIPSEL 등 인텔 x86 아키텍처 외에도 같은 서버를 통해 구동한다.
이러한 아키텍처는 IoT의 근간을 이루는 기기들에 적용되고 있다는 점에서 위험성이 높다. 아직까지 해당 웜을 악용해 PC외 기기에 대한 공격이 확인된 것은 아니지만 공격 당할 가능성은 높아지고 있는 실정이다.
기기 제조사들은 리눅스 OS와 소프트웨어(SW)를 사용해 사용자 허락을 받지 않고 제품 설정을 바꾸는 경우가 있다. 많은 사용자들은 집이나 사무실에서 이러한 기기들이 취약점에 노출될 수 있다는 사실을 모른다.
관련기사
- 와이파이 보안 취약점 심각...56개 새로 발견2013.12.02
- 찜찜한 무선랜 보안, '이렇게 해라'2013.12.02
- 지난해 무선랜 보안수준↑…81.6% 보안설정2013.12.02
- 스마트TV·프린터·공유기·AP...해킹영역 넓어져2013.12.02
또 다른 문제는 사용자가 취약한 기기를 알아냈다고 하더라도 제조사들로부터 어떤 업데이트도 받을 수 없다는 점이다. 이들 기기는 대부분 업데이트를 하지 않거나 하드웨어상 제약이 없기 때문이다. 새로운 버전의 SW를 지원할 경우 충분한 메모리가 확보되지 않거나 CPU 성능이 저하되는 경우가 발생할 수 있다.
이러한 문제를 해결하기 위해 시만텍은 네트워크에 연결된 모든 기기를 확인하고, 만약 최신 SW업데이트가 있다면 이를 적용해야한다. 기기에 접속할 수 있는 비밀번호를 강하게 만들어야 한다. 또한 HTTP POST 요청 중 필요하지 않은 경로를 게이트웨이 단에서 막아야 한다. '-/cgi-bin/php, -/cgi-bin/php5, -/cgi-bin/php-cgi, -/cgi-bin/php.cgi, -/cgi-bin/php4' 등이 그것이다.
