Home > 전체기사
사물인터넷 보안의 짧은 역사 - 미라이와 브리커봇을 중심으로
  |  입력 : 2019-10-16 16:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 장비들만을 봇넷에 편입시키며 기록적인 디도스 공격 실시한 미라이
미라이로부터 장비들을 보호한다며 9개월 동안 1천만 대 고장낸 브리커봇


[보안뉴스 문가용 기자] 지난 수년 동안 보안 전문가들은 증가하는 사물인터넷의 위험에 대해 경고하려고 지속적으로 노력해왔다. 취약점을 가지고 있는 사물인터넷 장비들의 경우 전 세계 네트워크에 위협적인 존재로 자리하고 있다고 말이다. 인터넷에 연결된 웹캠, DVR, 스마트워치 등의 인기가 올라가면서 해커들은 거대한 봇넷을 구성하고, 이를 통해 파괴적인 공격을 할 수 있게 되었다.

[이미지 = iclickart]


그래서 일부 윤리적인 해커들이 대책을 마련했다. 거대한 사물인터넷이 본넷에 편입되어 공격자들의 공격 인프라를 거대하게 만들기 전에, 먼저 사물인터넷을 벽돌로(사용 불가능 상태로) 만들어버리는 것이다. 물론 어느 정도 일리가 있을 수 있는 접근법이지만, 환자의 상태와 생명을 좌지우지 하거나 산업 현장에서 노동자들의 안전을 위협할 수 있는 장비들이 인터넷과 연결되는 경우가 늘어나다보니 오히려 더 큰 위험으로 작용하는 사례가 생기기 시작했다.

이야기를 처음부터 해보자. 사물인터넷 보안이 심각한 문제로 대두되기 시작한 건 2016년 후반부의 일이다. 당시 사물인터넷 장비들만을 봇넷으로 편입시키는 미라이(Mirai)라는 봇넷 멀웨어가 등장해, 그때까지 발생한 그 어떤 디도스 공격보다 큰 공격을 실시한 것이다. 게다가 미라이의 소스코드가 곧바로 유출되기 시작하면서 공격자들은 여러 변종들을 만들어내기 시작했다.

이 정도만 됐어도 경각심을 불러일으키기 충분했어야 한다. 사물인터넷 장비 제조사들이나 사용자들이 ‘앗 뜨거’하고 보안에 관심을 가지기 시작했어야 했다. 그러나 실제로는 그렇지 않았다. 시장은 여전히 마진 줄이기와 출시일 당기기에 혈안이 되어 있었고, 그에 따라 사물인터넷의 보안은 조금도 나아지지 않았다. 일부 전문가 몇몇이 개인 단위로 프로젝트를 진행하기는 했으나 그뿐이었다. 그런 와중에 사물인터넷을 벽돌로 만드는 브리커봇(BrickerBot)이 등장했다(2017년).

브리커봇은 미라이와 굉장히 유사한 방식으로 작동한다. 취약하거나 깨기 쉬운 비밀번호를 통해 멀웨어를 유입시킨다. 다만 멀웨어가 완전히 심겨진 이후의 작동 방식은 다르다. 미라이는 해당 기기를 봇넷으로 편입시키지만, 브리커봇은 기계를 아예 못쓰게 만들어버리기 때문이다. 물론 공장 초기화를 통해 처음 상태로 되돌리는 게 가능하지만, 누구나 이런 방법을 아는 것도 아니었다.

브리커봇의 개발자는 재니터(Janit0r)라는 이름으로 활동하는 해커로, 한 매체와의 인터뷰를 통해 “미라이 공격으로부터 장비들을 지키기 위해 만들었다”고 밝혔다. 그러면서 “꽤나 급진적인 방어법을 사용했는데, 그 이유는 생산자들이나 소비자들이나 안전을 위한 조치를 취하지 않을 것이 너무나 뻔했기 때문”이라고 설명하기도 했다.

결국 브리커봇은 9개월만에 1천만 대가 넘는 사물인터넷 장비를 망가트렸다. 재니터는 브리커봇의 운영을 중단했다. 1천만 대가 분명 적은 숫자는 아니지만, 전 세계 사물인터넷 장비의 0.1%도 되지 않는다. 실제 해당 장비들은 미라이로부터 공격을 받지 않았다고 한다. 물론 소유주들에게 금전적인 피해를 입힌 것도 사실이다.

브리커봇이 사라졌지만, 사물인터넷 장비를 벽돌로 만들려는 시도는 이어졌다. 2019년 초, 사일렉스(Silex)라는 멀웨어가 등장했다. 브리커봇의 변종이라고 봐도 무방한 유형의 멀웨어였다. 사일렉스는 불과 수시간 만에 전 세계의 사물인터넷 장비 수만 대를 감염시키고 시스템 파일을 지워 사용 불능 상태로 만들었다. 미라이의 변종이 계속해서 만들어지는 것처럼 브릭봇 멀웨어도 비슷한 길을 걸어갈 것으로 예상된다.

그렇다면 사물인터넷 장비를 사는 건 위험하기만 한 일일까? 그렇지 않다. 미라이나 브리커봇 모두 방어할 수 있는 방법이 존재한다. 그건 바로 디폴트로 설정된 비밀번호를 어렵게 바꾸는 것이다. 여기에 더해 텔넷 포트를 인터넷에 노출시키지 않도록 환경을 설정해야 한다. 비밀번호는 미라이가 주로 활용하고, 텔넷 포트는 브리커봇이 퍼져가는 통로가 된다. 이 두 가지 조치를 취했다면 기본적인 망분리와 네트워크 모니터링을 실시해야 한다.

브리커봇 멀웨어가 위험한 건, 공격이 기기의 종류와 상관없이 무차별적으로 발생하기 때문이다. 요즘처럼 사물인터넷 장비가 거의 모든 사업 및 산업 환경에서 사용되고 있는 때에 이는 커다란 피해로 이어질 수 있다. 요즘 세계 곳곳에서 붐을 일으키고 있는 ‘스마트 시티’도 사물인터넷 장비의 도입에 크게 의존하고 있다. 의료 산업에서는 환자의 인슐린 투입량을 조절하거나 심장 박동 수를 확인하는 데 사물인터넷 기술이 점점 더 널리 활용되고 있는 추세다. 이런 장비들이라면 한 순간이라도 사용 불능 상태가 되면 안 된다.

그렇게나 중요한 장비들임에도, 사물인터넷 초창기의 위험에서 크게 벗어나지 못하고 있는 게 현실이다. 안전성은 높아지지 않았는데, 장비가 수행하는 일의 중대함은 비교도 되지 않을 정도로 커졌고, 따라서 리스크만 한없이 치솟고 있는 상황이다. 따라서 브리커봇이나 사일렉스를 만든 사람의 의도가 진실로 ‘미라이로부터 안전하게 지키기 위해’서라 한들, 실제로 사용되어서는 안 된다.

보다 덜 급진적으로 사물인터넷을 보호할 수 있는 방법들도 존재한다. 먼저는 보안 전문가들이 여태까지 해왔던 것처럼 계속해서 보안 강화 캠페인을 벌여야 한다. 사람들은 원래 한두 번 말해서는 듣지 않는다. 강연 기회가 있을 때마다 대중들을 만나 사물인터넷을 안전하게 만들고 사용해야 한다고 알리고 가르쳐야 한다. 소비자들을 설득시키는 게 먼저다. 불안전한 사물인터넷 장비가 팔리지 않도록 해야, 제조사들이 움직이기 때문이다.

사물인터넷 산업은 체질 개선을 처음부터 이뤄야 한다. 그 점에 대해서는 보안 전문가 그 누구도 반대하지 않을 것이다. 기능성에 쏟아붓는 것만큼 안전성에 대한 연구에도 인력, 자원, 시간을 투자해야 한다. 지금처럼 시장과 자본주의의 원리로만 따져서는 사물인터넷 보안은 꿈도 못 꿀 일로 남게 된다. 소비자와 제조사들에서 변화가 없다면, 또 다시 브리커봇처럼 급진적인 방법이 등장할 지도 모른다.

글 : 마크 랄리베르트(Marc Laliberte), WatchGuard Technologies
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)