북미 인터넷 마비 '미라이' 악성코드 변종 '여전'

[아이뉴스24 최은정 기자] 사이버 공격자들이 전파성을 높인 미라이 악성코드 변종을 계속해서 유포하고 있는 것으로 나타났다.

미라이 악성코드는 지난 2016년 사물인터넷(IoT) 기기를 포함한 다수 장치를 감염시켜 '미라이 봇넷'으로 만들었다. 이를 바탕으로 대규모 디도스(DDoS) 공격이 감행됐고, 북미 지역 인터넷을 3시간이나 마비시킨 바 있다.

30일 안랩 시큐리티대응센터(ASEC)에 따르면, 공격자는 이러한 전적이 있는 미라이의 변종 '키라 버전2'를 만들어 더 많은 IoT 장비를 봇넷으로 확보하고 있다. 자기 자신을 다른 기기에 유포하는 '전파 기능'을 통해서다.

특히 최근에는 IoT 등 기기가 많아지고, 재택·원격근무제 등 실시로 기업 네트워크 영역이 넓어짐에 따라 공격 범위가 확대될 수 있다는 예상이다.

안랩 측은 "미라이 소스코드를 기반으로 제작된 키라 버전2는 디도스 공격을 목적으로 설계됐다"며 "취약한 IoT 장비들에게 전파하는 자체 기능을 갖고 있는 것이 특징"이라고 분석했다.

즉, 일부 기기들을 대상으로 자기 자신을 복제해 유포할 수 있다는 얘기다. 유포 대상은 화웨이 라우터, JAWS 웹 서버가 설치된 MV파워 DVR 관련 장비 등을 비롯해 임베디드 리눅스 운영체제(OS) 및 비지박스가 설치된 IoT 장비를 모두 포함한다.

안랩 측은 "최근 DVR, 라우터, IP카메라 등 IoT 장비 수가 늘어나고 있다"며 "현재까지 다수 악성코드들이 보안에 취약한 장비들을 대상으로 감염을 시도하고 있다"고 설명했다.

이어 "또한 이미 다수 장비들이 감염돼 봇넷 역할을 하고 있다"며 "디도스 공격에 악용돼 또 다른 IT인프라에 대한 보안위협이 가해지고 있다"고 했다.

아울러 해당 보안위협을 방지하기 위한 방법으로 안랩은 장비의 아이디와 비밀번호 등 자격 증명을 변경하고, 안전한 자격 증명으로 바꾸고, IoT 장비들을 항상 최신 버전으로 업데이트 하는 것을 권고했다.