잊을만하면 등장하는 '봇넷'…IoT 기기 취약점 파고든다 [IT돋보기]


"고전적인 사이버 공격 기법…파급력은 강해"

[아이뉴스24 김혜경 기자] 이달 초 미국 정부는 러시아군 정보조직인 총정찰국(GRU)이 통제하는 '봇넷(Botnet)'을 적발했다고 밝혔다. 봇넷이 작동하기 전 GRU가 통제했던 네트워크를 차단해 대규모 피해를 막았다는 것. 봇넷 공격은 고전적인 기법이지만 사물인터넷(IoT) 기기의 취약점을 이용하는 등 기술적인 진화와 높은 전파력, 최근에도 지속 발견되고 있다는 점에서 여전히 주의가 요구된다.

봇넷 공격은 IoT 기기의 취약점을 이용하는 등 기술적인 진화와 높은 전파력, 최근에도 지속 발견되고 있다는 점에서 여전히 주의가 요구된다. [사진=조은수 기자]

18일 보안업계에 따르면 최근 미 법무부와 연방수사국은 지난달 국제 공조를 통해 GRU 봇넷 겨냥 작전을 수행한 결과 전 세계의 소규모 사업체 수천 곳이 멀웨어(악성 소프트에어)에 감염된 것을 발견했다고 전했다.

미 정부에 따르면 '사이클롭스 블링크(Cyclops Blink)'라는 멀웨어가 수천 개의 장비에 침투했고 GRU 연계 해커조직인 '샌드웜(Sandworm)'이 배포한 것으로 알려졌다. 2016년 샌드웜은 우크라이나의 에너지 인프라를 공격해 수도 키이우 일대의 정전 사태를 일으켰고, 최근에도 전력망을 겨냥한 사이버 공격을 시도하다 발각된 바 있다.

봇넷은 소프트웨어 로봇(robot)의 집합을 뜻한다. 공격자는 악성파일을 유포해 불특정 다수의 PC나 기기를 감염시켜 이른바 '좀비 PC'로 만들고, 복수의 감염된 기기들이 네트워크로 연결돼 하나의 봇넷이 되는 구조다.

지난 13일(현지시간) 마이크로소프트(MS)도 봇넷인 '지로더(ZLoader)'를 해체했다. MS에 따르면 지로더는 전 세계 기업과 병원, 학교, 가정의 IT 기기로 구성됐으며 악성코드를 이용해 돈을 빼돌리도록 설계됐다.

봇넷은 고전적인 사이버 공격 기법이다. 일반적으로 디도스(분산서비스거부·DDoS) 공격이 수반된다. 공격자가 봇넷에 명령을 내려 특정 사이트에 접속하게 되면 과부하 문제로 서비스가 중단되는 원리다. 초연결 사회의 취약점을 이용한 사이버 공격이 급증하면서 몇 년 전에는 '미라이(Mirai). 지난해에는 IoT 기기를 겨냥한 '모지(Mozi)' 악성코드 등이 활개를 친 바 있다.

문종현 이스트시큐리티 이사는 "공격자 입장에서 혼자서 디도스 공격을 실행하면 성공하기 어렵기 때문에 복수의 PC들을 감염시켜 동시다발적으로 공격하도록 하는 것"이라며 "IoT 기기의 종류가 늘어나면서 감염 범위도 넓어지고 있지만 과거부터 사용됐던 기법들이 최근에도 나타나고 있으므로 공격자의 의도를 파악하는 것이 더 중요하다"고 말했다.

최정수 라온화이트햇 핵심연구팀장은 "봇넷을 통한 악성코드 유포는 고전적인 수법이지만 감염된 기기에서 새로운 기기를 공격할 수 있는 만큼 전파력은 강하다"며 "IoT 장비를 겨냥한 봇넷의 경우 관리자 계정 설정이 취약한 점을 이용한다"고 설명했다.

이어 "기본 설정된 패스워드를 사용하는 장비를 대상으로 스캐닝, 무차별 대입 공격(브루트포싱) 등을 통해 장비를 탈취하거나 패치되지 않은 펌웨어를 노린다"며 "비밀번호 변경, 펌웨어 업데이트 등이 필요하다"고 덧붙였다.

보안업계 한 관계자는 "네트워크 접근제어(NAC) 등으로 인가된 사용자 접근만 허용하고 비인가 접근은 차단하는 방법으로 예방을 할 수 있다"며 "공격이 이미 진행된 후라면 디도스 방어 솔루션 등이 필요하다"고 말했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스