Home > 전체기사
온라인 해킹 포럼에 공개된 50만 개 사물인터넷 크리덴셜
  |  입력 : 2020-01-22 10:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서버, 라우터 등 50만 개가 넘는 IoT 장비에서 크리덴셜 발굴한 해커
네트워크 가시성 확보하고, 공격자들이 노릴만한 자산 파악해 ‘공격 시나리오’ 만들어야


[보안뉴스 문가용 기자] 한 해커가 515000개가 넘는 서버, 가정용 라우터, 기타 사물인터넷 장비들에서 사용되는 크리덴셜의 목록을 인기 높은 온라인 해킹 포럼에서 공개했다. 그러면서 이를 “역사상 최대의 텔넷 비밀번호 유출 사건”이라고 자랑하는 중이라고 한다.

[이미지 = iclickart]


이 사건을 통해 텔넷 프로토콜의 오래된 불안전함과, 스마트 장비들이 점점 많아지고 있는 기업 네트워크의 위기 상황이 다시 한 번 드러났다고 전문가들은 평가하고 있다. 사물인터넷 장비가 내포하고 있는 약점은 오래 전부터 지적되어 왔지만 별다른 향상 없이 사용량이 증가하고 있다. 보안 전문가들은 입을 모아 이를 ‘다가오는 재앙’이라고 평가한다.

해커가 공개한 목록에는 장비의 IP 주소와 텔넷 프로토콜의 사용자 이름과 비밀번호가 포함되어 있었다. 이를 조사한 전문가들에 의하면 이 해커는 인터넷 전체를 스캔해 텔넷 포트를 열어두고 있는 장비들을 찾아냈으며, 그 이후 1) 공장에서 설정한 디폴트 사용자 이름과 비밀번호 조합이나 2) 추측하기 쉬운 사용자 이름과 비밀번호 조합을 가지고 접근을 시도한 것으로 보인다고 한다.

이 목록은 ‘봇 리스트(bot list)’라는 이름으로 유통되고 있으며, 사물인터넷 봇넷 운영자들은 이미 이 목록을 활용해 장비들에 멀웨어를 심고 봇넷을 확장시키는 중이라고 한다. 문제의 해커는 디도스 공격 대행 서비스를 제공하는 업자이기도 한데, 이 목록을 통해 새로운 사업을 실험 중에 있는 것으로 보인다.

한 가지 다행인 점은, 이 목록에 공개된 크리덴셜이 2019년 10~11월에 수집되었다는 것이다. 즉 2~3달 전의 정보가 업데이트 되지 않은 상태로 유통된다는 건데, 따라서 사물인터넷 장비 소유자들이 해당 기간 동안 비밀번호를 새롭게 설정했거나, 다른 IP 주소로 옮겼다면 아직 봇넷 공격에 감염되지 않았을 가능성이 있다.

텔넷은 원격 접근을 위해 개발된 프로토콜로 인터넷을 통해 원격의 장비를 제어하는 데 활용된다. 그러나 취약하기로 악명이 높으며, 백도어로서 활용되는 사례도 무수히 많다. 해커들은 오랜 시간 텔넷을 익스플로잇 해왔으며, 이를 통해 디도스 공격이나 각종 봇넷 기반 공격들을 해왔다.

이번 사건은 텔넷이 취약한 프로토콜이라는 것을 다시 한 번 상기시킬 뿐만 아니라 사물인터넷 장비들의 고질적인 문제로 꼽히는 ‘디폴트 비밀번호’ 혹은 ‘쉬운 비밀번호’가 아직도 만연하다는 것을 알리고 있다. 이는 사물인터넷 제조사들이 해결해야만 하는 문제로, 기능성과 가격, 시장 진입 시기만을 염두에 두고 사업을 하는 문화가 가장 큰 걸림돌로 꼽힌다.

‘봇 리스트’가 공개됨으로써 위험에 처한 건 사물인터넷 장비를 집에서 사용하는 일반 소비자들만이 아니다. 보안 업체 사이코그니토(CyCognito)의 부회장인 라파엘 레이흐(Raphael Reich)는 “사물인터넷 장비가 생각보다 많이 기업 환경에 들어와 있는 상태”라며 “기업 입장에서는 새로운 방어 전략을 구축해야 한다”고 촉구한다.

“클라우드 기반 서버, 데브옵스 플랫폼, 파트너사와의 연결 등 우리 네트워크에 들어와 접속하는 게 가능하지만, 우리 IT 팀의 통제 아래 전부 들어오지 않는 요소들은 보안의 사각지대로서 작용할 수밖에 없습니다. 공격자들이 노리는 건 이런 요소들이고, 텔넷과 사물인터넷 장비들 역시 비슷한 맥락에서 위협이 되고 있습니다.”

그러면서 레이흐는 “보안을 강화하려면 어떤 조직이건 공격 표면을 전부 파악하는 작업부터 진행해야 한다”고 강조한다. “공격이 가능한 경로들을 전부 알아두고, 그걸 지도처럼 만들어 인지해두어야 합니다. 거기서부터 공격 시나리오를 예상할 수 있게 되죠. 그런 후 공격자들이 가장 욕심낼 만한 자산이 무엇인지 꼽아봄으로써 방어의 우선순위를 매길 수 있게 됩니다. 그런 식의 종합적인 방어 전략을 구축하는 게 중요합니다.”

3줄 요약
1. 디도스 공격 대행 사업자인 해커, 50만 개 넘는 사물인터넷 장비 크리덴셜 공개.
2. 이 목록을 가지고 봇넷 멀웨어 퍼트리는 공격자들도 늘어나고 있음.
3. 텔넷과 사물인터넷 장비가 사각지대로서 작용하지 않도록 보안 전략 구축해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)