[아이뉴스24 김혜경 기자] 초연결 사회의 취약점을 이용한 사이버 공격이 급증하는 가운데 사물인터넷(IoT) 기기를 감염시키는 '모지(Mozi)' 등의 악성코드가 여전히 활개를 치고 있는 것으로 나타났다. 지난해 유포지가 대량으로 탐지되면서 IoT 기기를 대상으로 한 보안 위협에 경계를 강화해야 한다는 분석이다.
6일 한국인터넷진흥원(KISA)에 따르면 지난해 하반기 악성코드 은닉사이트 탐지시스템(MCF)에 수집된 전체 악성 URL 가운데 경유지는 상반기 대비 84% 줄었지만 유포지는 23% 늘어난 것으로 나타났다. 유포지란 악성코드를 직접 유포하는 URL을 뜻하며, 경유지란 악성스크립트가 삽입돼 유포지로 연결되는 URL이다.
![악성코드 유포지 및 경유지 탐지 현황 [사진=인터넷진흥원]](https://image.inews24.com/v1/0f9a685707c757.jpg)
특히 Mozi는 하반기 935개의 유포지가 탐지돼 상반기 대비 30% 늘어난 것으로 집계됐다. 지난해 총 1653건의 유포지가 탐지됐으며 ▲중국(738건) ▲인도(92건) ▲대만(10건) 등의 순으로 유포지가 다수 발견됐다.
![모지 악성코드 관련 유포지 탐지 현황 [사진=인터넷진흥원]](https://image.inews24.com/v1/3c3fb7d39a1960.jpg)
Mozi는 2016년 10월 발견된 '미라이(Mirai)' 악성코드의 변종이다. 미라이는 CCTV, 공유기 등 IoT 기기를 마비시켜 해커가 제어할 수 있도록 하는 악성코드의 일종이다. 당시 미국 동부 지역에 인터넷 마비 사태를 일으킨 디도스(분산서비스거부·DDoS) 공격의 주범으로 지목됐다. 국내에서는 2017년 1월 IoT 기기가 아닌 특정 웹서버에서 다수 발견된 바 있다.
2020년 7월 Mozi 개발자와 운영자가 체포되면서 유포지 증가폭이 다소 줄었지만 위협은 현재까지 지속되고 있다고 KISA는 진단했다. P2P(Peer to Peer) 형태의 '봇넷(Botnet)'으로 구성된 점이 특징이다. 해커는 불특정 다수의 PC를 감염시켜 마음대로 조종할 수 있는 소프트웨어 로봇을 만들고, 이 과정에서 감염된 PC가 네트워크로 연결돼 하나의 봇넷이 된다.
KISA는 "모지 악성코드와 네트워크를 추적한 결과 봇넷을 조종하기 위한 공격 명령은 관찰되지 않아 운영을 중단한 상태로 보인다"며 "다만 지속 활동 중인 감염기기에 대해서는 인터넷서비스제공사(ISP)와 협력해 조치를 취하고 있다"고 설명했다.
앞서 지난 1월 국가정보원도 "전 세계 72개국 IoT 장비 1만1700여대가 Mozi 봇넷에 감염된 사실을 확인하고 국내외 유관기관 및 해외 협력 기관과 대응 조치를 진행 중"이라고 전했다. 국정원 조사 결과 국내 한 지자체의 PC일체형 광고모니터가 Mozi에 감염된 사실이 확인됐다.
KISA는 "모든 기기가 수평적으로 연결된 P2P 네트워크 특성상 이미 감염된 IoT 기기를 통해 계속 전파될 수 있다"며 "감염 피해를 예방하기 위해서는 ▲기본 제공 비밀번호 변경 ▲불필요한 서비스 차단 ▲최신 버전 업데이트 등 보안수칙을 준수해야 한다"고 강조했다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기