봇넷을 이용한 사물인터넷(IoT) 보안공격 동향

  • 박태형산업정책연구실 책임연구원
  • 진회승SW기반정책·인재연구실 책임연구원
날짜2016.11.18
조회수20137
글자크기
    • 지난 10월 말, 미국 동부지역에서 발생한 대규모 서비스거부 공격에 사물인터넷(IoT) 기기가 이용된 사실이 드러나, 사물인터넷(IoT)이 사회의 안전에 대한 실제 위협으로 부상
    • 사물인터넷(IoT) 산업이 급격하게 성장하고 발전하여 사물인터넷(IoT)이 사회의 기반으로 자리잡고 있는 반면, 이에 대한 위험에 아직 둔감한 상황
    • 사물인터넷(IoT) 정보보호 로드맵 등을 통해 사물인터넷(IoT) 보안의 논의가 이루어진 바 있으나, 이번 사고를 통해 사물인터넷(IoT)의 안전에 대해 보다 적극적인 관심과 주의가 필요함이 확인됨
  • 지난 10월 말 미국 동부지역에서 발생한 대규모 서비스거부 공격에 사물인터넷(IoT) 기기가 이용된 사실이 드러나, 사물인터넷(IoT)이 사회 안전에 대한 위협으로 부상
    • 지난 10월 21일, 미국의 인터넷 도메인이름서비스(DNS) 업체인 Dyn에 대규모 서비스거부(DDoS) 공격이 발생, Dyn의 서비스를 제공받는 다수의 웹 사이트들에서 서비스 장애가 발생
    • 대규모 서비스거부(DDoS) 공격으로 Dyn가 제공하는 도메인이름서비스(DNS)가 중단됨에 따라, Dyn의 도메인이름서비스(DNS)를 이용하는 미국의 주요 웹사이트가 수시간 동안 마비되는 대규모 장애가 발생
    • • 미국 동부 지역에 위치한 CNN, 아마존, 넷플릭스, 트위터, 깃허브, 에어비엔비, 레딧, 페이팔, 스포티파이, 뉴욕타임즈, 워싱턴포스트 등 1,000여 개 이상의 웹사이트가 수시간 동안 마비
    • 기존의 서비스거부 공격들이 표적인 웹사이트를 직접 공격했던 것과 다르게, 도메인 이름을 실제 IP주소로 바꿔주는 도메인이름서비스(DNS)를 제공하는 업체를 공격하여, 해당 서비스를 이용하는 웹사이트들을 무차별적으로 공격
    • 그림1-Dyn 서비스거부 공격으로 인한 미국 웹사이트 중단
    • Dyn에서 발생한 서비스거부(DDoS) 공격의 원인으로 사물인터넷(IoT) 기기를 대상으로 하는 악성코드인 미라이(Mirai)가 지목
    • Dyn의 최고전략책임자(CSO)인 Kyle York는 ‘Mirai’라는 악성코드에 감염된 수천만 개의 IP 주소를 통해 서비스거부 공격이 발생했음을 설명
    • Mirai는 사물인터넷(IoT) 기기를 활용하여 봇넷(Botnet)(1)을 구축하고, 이를 통해 서비스거부 공격을 가능하게 하는 트로이목마 유형의 악성코드
    • Mirai는 보안설정이 허술한 사물인터넷(IoT) 기기를 주 대상으로 텔넷을 통해 무차별 대입(Brute-force) 공격을 통해 악성코드의 감염을 시도하며, 매일 38만 대의 사물인터넷(IoT) 기기를 감염시킨 것으로 밝혀짐
    • 그림2-Mirai 악성코드 봇의 분포 현황
    • 보안업체인 Imperva는 Mirai 봇넷의 IP 주소를 분석, 전 세계 164개 국가에 Mirai 악성코드에 감염된 사물인터넷(IoT) 기기가 존재함을 분석함
    • • 베트남 12.8%, 브라질 11.8%, 미국 10.9%, 중국 8.8% 멕시코 8.4%에 이어 우리나라에도 6.2%의 Mirai 봇넷이 존재하는 것으로 드러나 주의가 필요
    • 그림3-Mirai 감염 사물인터넷(IoT) 기기의 분포 현황
    • Mirai는 악성코드 감염을 위한 IP 스캔 시 피해야할 특정 IP 목록을 가지고 있어 악성코드의 전파를 은닉하려는 목적을 가진 것으로 분석되어, 더욱 주의가 요망
    • • 미 국방성(U.S. Department of Defense), 미 우체국(U.S. Post Office), HP, GE, IANA(Internet Assigned Numbers Authority) 등의 IP 주소를 피하도록 설정
    • Mirai의 등장으로 CCTV, 공유기, 스마트가전 기기, 각종 센서 등 다양한 사물인터넷(IoT) 기기가 사회에 대한 위협으로 부상
    • 사물인터넷(IoT) 기기를 통한 서비스거부 공격은 새로운 유형의 공격은 아님
    • • 2015년 10월, 보안업체인 Imperva는 약 900대의 CCTV 카메라로부터 시작된 서비스거부 공격을 보고한 바 있음
    • • 2016년 9월, 프랑스의 서버호스팅 업체인 OVH는 약 15만 대의 DVR, IP 카메라로 구성된 사물인터넷(IoT) 봇넷으로부터 1Tbps가 넘는 크기의 서비스거부 공격을 받은 바 있음
    • 하지만 이번 서비스거부 공격과 그 배후로 부상한 Mirai를 통해 그동안 지적되었던 사물인터넷(IoT) 기기의 취약성이 다시 부각되고 있음
    • • 사물인터넷(IoT) 기기가 악성코드에 감염되더라도 사용자가 감염 여부를 인지하기 어렵고, 사용자가 기기 자체의 SW, HW를 관리하기 어려움
    • • 사물인터넷(IoT) 기기는 모델명이나 소프트웨어 버전 정보 등을 그대로 노출하는 경우가 많아, 공격하기에 용이함
    • 특히 Mirai가 기본 계정/암호 정보를 이용하여 사물인터넷(IoT) 기기에 감염된 사실이 드러나면서, 사물인터넷(IoT) 기기 자체의 취약성 뿐 아니라 사용자와 제조사의 안일한 인식도 위협의 원인으로 부상
    • • 황저우 시옹마이 테크놀로지(Hangzhou Xiongmai Technology)라는 중국 전자기기 생산업체의CCTV 등의 사물인터넷(IoT) 기기가 Mirai 봇넷 구축에 활용되었음이 드러났고, 해당 업체는 자사 제품의 초기 암호가 취약한 것이 미국에서 발생한 서비스거부 공격의 원인임을 인정
  • 사물인터넷(IoT) 산업이 급격하게 성장하고 발전함에 따라 사물인터넷(IoT)은 사회의 기반으로 자리 잡고 있고, 이에 따라 정보보호의 관점에서 사물인터넷(IoT)의 보안에 대한 논의가 이뤄지고 있으나, 아직은 위험에 아직 둔감한 상황
    • 국내외 사물인터넷(IoT) 산업과 시장이 급성장하면서, 사회의 기반으로 사물인터넷(IoT) 기기의 비중이 높아질 것으로 전망
    • 국내외 사물인터넷(IoT) 시장은 연평균 20%이상 고성장할 것으로 예측
    • • 세계 사물인터넷(IoT) 시장은 2015년 3천억 달러 규모에서 2020년 1조 달러 규모로 연평균 28.8% 성장할 것으로 전망
    • • 국내 사물인터넷(IoT) 시장은 2015년 3.3조원 규모에서 2020년 17.1조원으로 연평균 38.5% 성장할 것으로 전망
    • 그림4-국내외 사물인터넷(IoT) 시장 전망
    • 시장조사업체인 Gartner는 2016년 매일 550만대의 사물인터넷(IoT) 기기가 증가하여, 전 세계 64억여 대의 사물인터넷(IoT) 기기가 연결될 것을 예측하였고, 지난 10월 2017년 이후 주목해야 할 ‘10대 주요 전략 전망’을 통해 사물인터넷(IoT) 기기가 사회의 중심이 될 것으로 전망
    • 미래창조과학부는 “사물인터넷(IoT) 정보보호 로드맵”을 수립, 발표 (2014.10)
    • 2014년 10월 미래창조과학부는 사물인터넷(IoT)을 미래의 새로운 경제성장 동력으로 육성하기 위한 기반을 마련하기 위해, “사물인터넷(IoT) 정보보호 로드맵”을 수립, 발표
    • 2015년 6월, 기 수립된 ‘사물인터넷(IoT) 정보보호 로드맵’을 체계적으로 이행하기 위한 “사물인터넷(IoT) 정보보호 로드맵 3개년 시행계획”을 발표
    • 사물인터넷(IoT) 공통보안 7대 원칙
    • 사물인터넷(IoT) 정보보호 로드맵과 시행계획에 따라,
    • • 제조업체, 서비스 제공자, 보안업체 등 업계와 학계, 공공기관 등 40여개의 기관이 참여하는 국내 최초의 사물인터넷(IoT) 보안 관련 민간 협의체인 사물인터넷(IoT) 보안 얼라이언스가 출범(2015.6)
    • • 사물인터넷(IoT) 기기 및 서비스의 제공자(개발자)와 사용자가 사물인터넷(IoT) 기기의 전주기 세부 단계에서 고려해야 하는 공통의 보안 요구 사항에 대한 가이드라인으로 “사물인터넷(IoT) 공통보안 7대 원칙”을 발표(2015.6)
    • • 사물인터넷(IoT) 제품 및 서비스의 기본적인 보안성 확보를 지원하기 위해‘사물인터넷(IoT) 공통 보안 7대 원칙’을 구체화한 “IoT 공통보안 가이드”를 발표(2016.9)
    • 지난 9월 보안업체인 Symantec은 사물인터넷(IoT) 기기를 이용한 서비스거부공격을 경고
    • 사물인터넷(IoT) 기기의 허술한 보안을 이용하여 악성코드를 유포하고, 사물인터넷(IoT) 기기를 봇넷으로 만드는 공격 활동이 증가함을 발표
    • 컴퓨터(PC)가 아닌 임베디드 기기를 공격 대상으로 하며, 기기에 초기 설정된 기본 계정과 암호를 악용하여, 손쉽게 사물인터넷(IoT) 기기가 서비스거부와 같은 공격의 도구로 사용됨을 분석
    • 표1- 사물인터넷(IoT) 기기 공격에 사용되는 기본 계정 및 암호 Top 10
    • IoT 시장이 활성화되었지만 보안 위협이 가중될 것이라는 보안 전문가들의 우려가 지속되는 가운데, 이번 서비스거부 공격 이전에 이미 해당 공격 유형에 대한 경고가 있었고, 이러한 경고가 현실화했다는 점에서 우려가 확대되고 있음
  • 시사점
    • 보안의 관점에서 사물인터넷(IoT)에 대한 체계적인 접근이 이뤄지고 있지만, 보다 적극적인 관심과 주의가 요구
    • 이번 Mirai 악성코드와 서비스거부 공격으로, 일상적으로 사용하는 인터넷에 연결된 수백만 개의 스마트 기기들이 해킹을 당하거나 인터넷 사이트를 공격하는 무기로 변할 수 있다는 우려가 현실이 됨에 따라, 사물인터넷(IoT) 제품과 사물인터넷(IoT)의 SW에 대해 보다 적극적인 관심과 주의가 필요함
    • 현재 사물인터넷(IoT)의 안전이 주로 정보보호의 관점에서 논의되는 한계를 넘어, 사회 전반에 대한 안전의 관점에서 보다 심화된 논의가 필요
    • • 특히, 산업화나 사회 기반시설에 사용되는 사물인터넷(IoT)이 증가함에 따라, 신뢰성과 안전성이 더욱 요구
    • 사물인터넷(IoT) 산업의 활성화를 지원하기 위해 보안과 안전이 더욱 강화되어야 함
    • 사물인터넷(IoT)이 미래의 신성장동력으로 논의됨에 따라, 이에 대한 안전은 더욱 중요한 기반으로 선결되어야 함
    • 향후 사물인터넷(IoT)의 발전에 따라, 보안과 안전 모두 함께 지속적인 발전과 강화가 필요함
  • 참고문헌
    • 현대경제연구원. 사물인터넷(IoT) 관련 유망산업 동향 및 시사점. http://hri.co.kr/board/reportView.asp?firstDepth=1&secondDepth=2&numIdx=25799
    • 클리앙(Clien). 귀뚜라미 보일러 IoT 제어기 - 패킷 분석하여 3rd party 앱으로 제어하기. http://www.clien.net/cs2/bbs/board.php?bo_table=lecture&wr_id=337874
    • Brian Krebs. Source Code for IoT Botnet ‘Mirai’ Released. https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released
    • Business Insider. A massive cyberattack knocked out major websites across the internet. http://www.businessinsider.com/amazon-spotify-twitter-github-and-etsy-down-in-apparent-dns-attack-2016-10
    • Forbes. Gartner's Top 10 Predictions For IT Organizations In 2017 And Beyond. http://www.forbes.com/sites/louiscolumbus/2016/10/19/gartners-top-10-predictions-for-it-organizations-in-2017-and-beyond
    • Gartner. Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015. http://www.gartner.com/newsroom/id/3165317
    • Imperva. Breaking Down Mirai: An IoT DDoS Botnet Analysis. https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html
    • Imperva. CCTV DDoS Botnet In Our Own Back Yard. https://www.incapsula.com/blog/cctv-ddos-botnet-back-yard.html
    • Level 3 Threat Research Labs. How the Grinch Stole IoT. http://blog.level3.com/security/grinch-stole-iot
    • Security Affairs. The hosting provider OVH continues to face massive DDoS attacks launched by a botnet composed at least of 150000 IoT devices. http://securityaffairs.co/wordpress/51726/cyber-crime/ovh-hit-botnet-iot.html
    • Symantec. IoT devices being increasingly used for DDoS attacks. https://www.symantec.com/connect/blogs/iot-devices-being-increasingly-used-ddos-attacks
    • The Wall Street Journal. Cyberattack Knocks Out Access to Websites. http://www.wsj.com/articles/denial-of-service-web-attack-affects-amazon-twitter-others-1477056080
    • (1) 봇넷(botnet) : 악성 프로그램에 감염되어 나중에 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태. 봇넷은 해킹 또는 악성 프로그램에 감염된 컴퓨터를 네트워크로 연결하고, 해커는 봇넷에 연결된 컴퓨터를 원격 조종해 개인 정보 유출, 스팸 메일 발송, 다른 시스템에 대한 공격 등 악성 행위를 수행(TTA정보통신용어사전)