[테크월드=배유미 기자] 해커는 컴퓨터나 시스템으로 침입한 후, 피해자를 염탐하고 데이터를 인질로 삼아 보상을 요구하거나, 피해자를 위협해 안전하지 않은 소프트웨어를 다운로드하도록 한다. 또한, 해커는 해킹 당한 서버를 봇으로 만든 후, 접근해서 실행도 시킬 수 있다. 이처럼 공격당한 다수의 봇을 연결시킨 것이 “봇넷(botnet)”이다. 쉽게 말해, 해킹 당한 서버들로 이뤄진 군대다. 봇넷은 무차별 대입 공격에 능하다. 또한, 더 많은 목표물을 해킹하고 봇으로 만들고 분산 서비스 거부(DDoS) 공격을 감행해 시스템으로 요청이 쇄도하게 함으로써 시스템을 정당하게 사용하는 것을 방해할 수 있다.

DDoS는 현재 해커들이 가장 널리 사용하면서 가장 큰 피해를 일으키는 사이버 공격이다. IT 중단 사태의 원인 중 거의 1/3이 이 DDoS공격이다. DDoS 공격을 받으면 거래 중단에 따른 매출 감소, 데이터 손실, 시스템 수리 등으로 인해 연간 수십억 달러의 피해가 발생하며, 브랜드 신뢰도에도 악영향을 미친다. 실제 DDoS 공격은 서비스 사업자들과 유수의 기업들을 겨냥해 빈번하게 그리고 대규모로 감행되고 있다. 이는 데이터 관련 기업과 정부 기관들을 위태롭게 할 수도 있다.

이 위험한 봇넷은 베드버그만큼 퇴치하기 어렵다. 일상적인 트래픽 속에 섞여 있기 때문이다. 공격자들은 프록시 네트워크를 사용해 문제의 서버 위치를 숨기는데, 때문에 봇넷을 식별하고 활동을 추적하는 일은 매우 어렵다. 게다가 봇넷으로 명령하고 통제하는 서버가 삭제 요청을 지원하지 않는 사업자들에게 호스트된 경우, 탐지가 됐다 하더라도 이를 완전히 제거하지 못할 수도 있다.

 

마인크래프트 광이 쏘아 올린 최악의 봇넷 공격

최초의 봇넷 공격은 2001년에 발생했다. 당시에는 단순히 스팸을 전송하는 것이 전부였는데, 이후 다양하게 변형되고 정교해지고 있다. 2012년에는 6개 미국 은행(Bank of America, JP Morgan Chase, Citigroup 포함)이 봇넷으로부터 60Gbps로 동시에 다양한 기법의 공격을 받았다. 2년 후에는 홍콩의 친-민주 풀뿌리 운동에 동조적이었던 웹사이트 팝보트(PopVote) 공격이 5개 봇넷으로 이뤄졌으며, 당시 피크 트래픽은 500Gbps에 달했다. 최근에는 메리어트(Marriott)와 워드프레스(WordPress)를 공격한 사례가 발생했다.

현재까지 가장 대규모이면서 가장 악명 높은 봇넷 사건은 2016년에 발생한 미라이(Mirai)로, 이 사건은 IoT 상으로 커넥티드 디바이스가 어떻게 공격 무기가 될 수 있는지 보여줬다. 미라이는 마인크래프트 광이었던 대학생 파라스 자(Paras Jha)가 친구들과 함께 개발했다. 파라스 자는 마인크래프트 호스트를 통해 금전적 이익을 취하기 위해 DDoS 공격을 사용해 경쟁 호스트들을 다운시키려고 시도했다. 먼저 그는 보안에 취약한 IoT 디바이스들을 활용했다. 인터넷을 스캔해 공장에서 출하할 때 디폴트 사용자이름과 패스워드를 여전히 사용하고 있는 텔넷(Telnet) 포트들을 찾아냈다. 이후 수많은 폐쇄회로 TV 카메라와 라우터들을 모집했다.

맨 먼저 파라스 자와 무리들은 마인크래프트 게임을 호스트했던 프랑스의 텔레콤 호스트 OVH를 목표로 했다. 그 결과 1.5Tbps의 기록적인 트래픽으로 공격했다. 이후에는 인터넷으로 연결된 150만 개의 카메라들을 동원해 유명한 사이버 보안 블로그를 다운시키고, 미라이 소스 코드를 공개해 누구든지 자신만의 봇넷을 제작할 수 있게 만들었다. 마지막으로는 Dyn에 1.2Tbps로 대대적 공격을 가해 트위터, 넷플릭스, 스포티파이, 깃허브, 에어비앤비, 사운드클라우드 등 다수의 사이트에 접속 장애를 일으켰다.

자와 공범들이 체포된 이후에도, 미라이는 그 유연성과 적응력 때문에 여전히 웹 상에서 문제를 일으키고 있다. 100만 명의 독일 통신 사용자들과 영국의 라우터 수천 대가 영향을 받았다. 특히, 다수의 소니 카메라 모델이 미라이 공격에 취약한 것으로 드러났다. 최근에는 미라이의 변종으로 여겨지고 있는 사토리(Satori)와 리퍼(Reaper) 봇넷이 등장했다.

미라이 봇넷 공격으로 심각하게 타격을 받은 지역들

 

치명적인 봇넷 공격, 그 후에는 어떻게 변했을까?

미라이가 세계를 휩쓴 이후, ID∙취약성 관리업체 비욘드 트러스트(BeyondTrust)의 모리 하버(Morey Haber) 기술 부사장과 같은 보안 전문가들은 IoT 디바이스를 제조하고 해외로 판매할 때 각각을 보호하기 위한 더 강력한 법규 도입이 필요하다고 주장했다. 이에 반해, 사이버 보안 회사 소포스(Sophos)의 체스터 위스니에우스키(Chester Wisniewski) 수석 연구원을 비롯한 또 다른 전문가들은 봇넷 사건 방지를 위해서는 법규만으로는 충분하지 않다고 말했다. 두 진영 모두 시스템 보안을 향상시키고 대중의 신뢰를 회복하기 위해서 최소한의 안전성 표준 도입과 우수 관행 적용의 필요성을 알고 있다. 또한, 지속적인 시스템 패치, 패스워드 사이클링, IoT 디바이스에 대한 권한 제한 등 관련 방안을 마련∙추진하고 있다.

한편 Dyn은 고객들에게 DDoS 공격의 영향을 줄이기 위해 인터넷 인프라 파트너 업체를 다각화할 것을 권고했다. 또한 메리어트 데이터베이스에 대한 공격 이후에는, 고객의 여권 기록 같은 중요한 데이터를 내부적으로 암호화해 시스템 해킹 시에도 데이터를 보호하는 대책도 마련했다.

 

IoT∙5G 기술, 발달할수록 보안성은 취약

가트너(Gartner)는 2017년에 가동되는 IoT 노드가 84억 개에 달했으며, 2020년에는 208억 개로 늘어날 것이라고 전망했다. 또한, 사용자 사이에서 개인 디바이스에 대한 보안 경각심은 높아지고 있으나, 홈 라우터, 보안 카메라, 모니터 같은 다른 디바이스에 대해서는 여전히 주의를 덜 기울이고 있다. 이는 IoT 사이버 범죄자의 타깃이 되기 십상이다. DDoS 공격 규모가 커지고 기술적으로 정교해지고 진화하면서 기존과 동일한 조치를 취하는 것만으로는 부족하다.

노키아의 2019년도 위협 인텔리전스 보고서에 따르면, 2018년 감염 디바이스 중 IoT 봇이 16%를 차지했다. 이는 2017년에 비해서 3.5% 증가한 수치다. 또한, 감지된 멀웨어의 78%가 IoT 봇넷과 관련됐다.

또한, 보고서는 2019년에 봇넷 공격이 더 심해질 것이라고 전망한다. 5G가 확대되면서 스마트 홈 보안 시스템, 자동차, 드론, 의료 모니터링 장비를 비롯해 보안에 취약한 디바이스들이 등장할 것으로 예상된다. 이 같은 경우, 공격이 더 빈번해질 뿐만 아니라 사이버 범죄자들의 장벽을 낮출 것이다. 공격자가 몇 대의 카메라만 해킹하면, 다음에는 해당 업체가 관리하는 모든 카메라에 손쉽게 접근할 수 있다. 실제 일본에서는 이미 DDoS 공격으로 허가되지 않은 당사자가 5만 대의 감시 카메라를 무단조작한 사건이 발생했다.

 

봇넷 공격 예방을 위해 정부∙기업∙개인이 할 일

그렇다면, 봇넷 공격을 예방할 방법은 없을까. 미국 국토 안보부는 보고서를 통해 “전통적인 DDoS 완화 기법은 봇넷으로 인한 여타의 악의적인 활동을 방지하도록 설계되지 않았다”며 새로운 방안이 필요하다는 점을 강조했다. 이를 위해 미국의 방위 고등 연구 계획국(DARPA)에서는 봇넷을 식별할 수 있는 시스템과 그들에게 침입할 수 있는 툴을 개발하기 위해 투자하고 있다. 또 다른 서구권 국가에서는 네트워크에 침입한 봇넷을 무력화할 수 있는 메커니즘을 개발하고 있다.

케빈 맥너미(Kevin McNamee) 노키아 2019년도 위협 인텔리전스 보고서의 책임 저자는 기업들을 대상으로 “어떤 규모로든 IoT를 구축하고자 하는 서비스 사업자나 기업은 보안 상의 허점이 없는지 잘 살펴야 한다”며, “무엇보다도 디바이스를 보안적으로 관리해야 하고, 이상 징후를 나타내는 IoT 디바이스를 식별해야 한다”고 강조했다. 여기에는 소프트웨어, 펌웨어, 패치를 모두 포함한다. 이를 위해서는 먼저 공격을 자동화 방식으로 빠르게 대처하는 것이 바람직하다. 공격받은 디바이스는 네트워크의 나머지 부분과 차단돼야 하며, 통신을 보안적으로 해야 한다. 이와 같은 방식으로 DDoS 공격을 예방∙대응하기 위한 조치를 모두 취해야 한다.

무엇보다도, 개인은 가정 내 IoT 노드를 점검하고 사용하지 않는 것들을 제거해 공격에 대한 노출을 줄여야 한다. 또한, 노드의 패스워드를 변경하고 보안을 높이는 펌웨어 업데이트를 다운로드해 위험요소를 줄일 수 있다. IoT 디바이스 구매 시에는 ▲검증된 제품인지 ▲신뢰할 수 있는 브랜드인지 ▲온라인 상에 긍정적 평가가 많은지를 확인해야 한다. 새로 구입한 디바이스는 마찬가지로 더욱 강력한 패스워드로 변경한다. 사이버 범죄자들이 디폴트 설정이 그대로인 디바이스들을 흔히 공격 대상으로 하기 때문이다. 아울러, 최신 보안 기능을 사용하고, IoT 노드의 소프트웨어를 최신 것으로 유지해서 잠재적인 취약성으로부터 보호해야 한다. 디바이스는 자동 업데이트를 하도록 설정하는 것이 좋은데, 이와 같은 경우 제조업체로부터 항상 최신 소프트웨어를 설치할 수 있다. 마지막으로 스마트 워치와 같은 디바이스들에도 개인 디바이스처럼 똑같이 주의를 기울여야 한다. 특히 공공 Wi-Fi처럼 보안이 확실하지 않은 공공 네트워크 연결 시에는 더욱 조심해야 한다.

봇넷 공격은 앞으로 더 증가할 것이다. 때문에 예방 주사를 맞는 것처럼, 우리 자신을 공격으로부터 보호하기 위한 조치들을 취해야 한다. 봇넷 공격이 발생했을 때 정부, 기업, 개인이 힘을 합치면 이길 수 있다. 또한, 각각은 모든 가능한 조치를 동원해 만약의 사태를 대비하고, 피해를 최소화할 수 있다.

 

저자: 마크 패트릭(Mark Patrick)

자료제공: 마우저 일렉트로닉스(Mouser Electronics)

이 기사를 공유합니다
저작권자 © 테크월드뉴스 무단전재 및 재배포 금지
이 기사와 관련된 기사