Malware
미라이 봇넷, IoT의 DDoS 공격 ①
2017 02 01
  • Facebook
  • Twitter
  • Copy URL

2016년 9월 21일, 보안전문가가 운영하는 KrebsOnSecurity 블로그가 엄청난 규모의 DDoS 공격을 받는다. 공격은 엔지니어의 노력 덕분에 성공하지는 못했지만, 보안회사 Akamai에 따르면 이전에 보았던 공격에 거의 2배에 달했고 여태까지 보았던 DDoS 공격 중 가장 큰 규모의 DDoS 공격이었다고 한다. 초기 보고서를 보면 9월 20일 20시경 공격은 초당 대략 665 Gbps를 기록했으며 보통 공격 규모는 620 Gbps, 평균 500 Gbps의 트래픽을 발생시켰다. 이는 2015년 초 가장 컸던 DDoS 공격의 363 Gbps, 거의 2배 가까이 되는 양이었다.[1] 2016년 10월 21일 오전 7시경 두 번째 공격은 시작되었다. 이번에는 미국 북동부 뉴햄프셔에 있는 인터넷 인프라 회사인 Dyn을 겨냥했다. 첫 번째 공격은 2시간 후에 해결되었지만 12시가 되기 전 다시 한 번 두 번째 공격이 시작되었고 16시 Dyn은 세 번째 공격이 들어왔다고 발표했다.[2] 수천만 개의 IP 주소가 공격자가 되어 미국 전역에 있는 Dyn의 인터넷망을 공격하였고 결국 엄청나게 몰아치는 트래픽으로 Dyn의 서비스는 중단되었다. DDoS가 만들어낸 트래픽 200 Gbps만 되어도 많은 트래픽 양이라고 얘기했던 옛날과 달리 갑작스레 커진 공격 규모의 모두가 속수무책이다. 갑작스럽게 나타나 사람들에게 혼란과 불편을 주고 여태까지 보아왔던 공격과 비교도 되지 않는 양의 트래픽 공격을 하는 DDoS 공격의 최대 무기, 미라이 봇넷(Mirai Botnet)이다.

이미지를 불러오는데 실패했습니다.

미라이 봇넷이 기반으로 삼고 있는 것은 PC도 아닌 IoT(Internet of Thing) 디바이스다. IoT는 사물인터넷이라고도 불리며 주변 사물에 유무선 네트워크를 연결하여 정보를 공유할 수 있는 기술이나 환경을 말한다. 주변에서도 손쉽게 볼 수 있는 IoT 디바이스는 여러 방면에서 많이 쓰이고 있다. IT 분야의 리서치 기업 가트너(Gartner)는 2014년에 64억 개의 IoT 디바이스가 2020년에는 135억 개에 다할 것으로 추측한다. 더불어, 2014년을 기준으로 2015년에는 IoT 디바이스의 사용률이 30%가 증가했다.[3] 그만큼 빠르게 IoT는 일상생활 속으로 빠르게 스며들어 퍼져 나가고 있다. 특히나 최근에는 기기의 발달로 단순하게 IP만 제공되는 것이 아니라 인터넷과 연결하고 트래픽을 만들어낼 수 있는 디바이스도 많아졌다. 미라이 봇넷은 이러한 점을 이용하여 IoT 디바이스를 감염시켜 자신의 숙주로 만들어 버리고, 목표 대상물을 공격하면서 주변에 감염되지 않은 기기들을 감염시킨다.

이미지를 불러오는데 실패했습니다.

미라이 봇넷은 기존의 악성코드처럼 일반적인 PC를 감염시켜 좀비 PC로 만들던 악성코드와 달리 IoT 디바이스를 감염시켜 좀비 IoT 디바이스로 만들어버린다. 최근에 나오는 큰 규모의 DDoS 사건은 보통 이 녀석의 짓이라고 보면 된다. 기존의 좀비 PC와 다른 가장 큰 특징은 좀비 PC의 경우, 보안 패치를 통해 감염된 PC의 수를 어느 정도 제어할 수 있었지만 미라이 봇넷은 지속해서 늘어나고 있어 감염된 IoT 디바이스의 수가 상승곡선을 타고 있다.[4] 더군다나 미라이 봇넷은 주변을 스캐닝하여 감염되지 않은 취약한 IoT 디바이스를 찾아 감염시킨다는 점에서도 좀비 PC와는 다르다.[5] 그만큼 IoT 디바이스의 감염 속도도 빠르게 확산되어 미라이로부터 방어하기가 여간 쉽지 않다. 미라이를 방어하기 또 다른 어려운 점은 감염된 IoT가 전 세계 곳곳에 분포되어 있어 어느 한 곳을 막기에도 쉽지 않다. 예를 들어, 기존의 DDoS 공격경인 대첩에서 다른 국가의 IP를 막아 방어했던 것처럼 한 지역, 국가의 IP를 막는 것도 방어의 수단 중 하나였지만 미라이는 분포된 여러 곳에서 공격이 들어와 한 곳만 막는다고 해서 막을 수 있는 상황이 아니다.[6]

미라이 봇넷은 아직 국내에서는 발견된 적이 없어 생소할 수도 있지만, 외국에서는 미라이 봇넷 때문에 이미 한바탕 곤욕을 치러 꽤 골칫덩이다. 2016년 10월 8일경, 미라이 봇넷에 감염된 IoT 디바이스의 개수는 21만대에서 49만대로 늘어났으며[7] Dyn 공격에서 쓰인 디바이스의 개수는 10만대로 추정된다.[8] 이후, 11월 28일에 발생한 독일 도이치텔레콤의 광대역 라우터 공격에 쓰인 IoT 디바이스의 개수는 90만대로 추정한다.[9] 또한, 프랑스 서버 호스팅 업체인 OVH는 799 Gbps 규모의 공격을 당해 약 14만 대의 IoT 디바이스가 공격에 쓰였을 것으로 추정한다.[10] 이같이 공격에 쓰이는 디바이스 개수가 늘어나면서 11월 9일 100만대를 돌파하여 현재는 어림짐작 150만대기 미라이 봇넷에 감염되어 있다. 감염된 IoT 디바이스의 수는 아래 링크에서 확인할 수 있다.[11]

이미지를 불러오는데 실패했습니다.

 

미라이 봇넷을 이용해 최초 공격 성공의 선례로 볼 수 있는 Dyn은 DNS(Domain Name Service) 서비스를 제공하는 업체로 네트워크에서 숫자로 된 주소 대신 글자로 이루어진 주소를 제공하여 사용자가 쉽게 사이트에 접근할 수 있도록 돕는다.[12] 쉽게 말해 DNS는 기본적으로 인터넷 주소록 역할을 하며 브라우저가 요청된 콘텐츠를 전달할 수 있도록 올바른 서버를 찾고 연결하는 데 필요한 IP주소로 변환한다. 이러한 서비스를 제공하는 Dyn의 주요 서비스 대상은 기업들로 이번 공격 때문에 일반 사용자와 기업 역시 상당한 피해를 보았다.

보통 기업들은 DDoS 공격에 대비하여 DDoS 완화 프로그램을 소유하고 있지만 이와 별개로 DNS, 웹 서버, 데이터 서버가 공격당하게 되면서 속수무책으로 당할 수밖에 없었다. Dyn은 미라이 봇넷의 DDoS 공격으로 DNS 서버가 압도당하여 결국 서비스를 중단되었다. 졸지에 Dyn의 DNS 서비스를 이용하고 있던 트위터 같은 여러 기업이 DNS 서비스가 중단되면서 사용자들 역시 사이트에 접속하는데 혼선을 빚었다. 이는 생각보다 더 큰 문제와 이슈거리를 남겼다.[13]

Dyn을 공격한 이는 DNS 서버를 공격하여 효과적으로 미국 전역을 광범위하게 타격을 입혔다. 이는 개별 사이트를 대상으로 공격하기보다는 Dyn의 서비스를 이용하고 있는 DNS 요청이 지정된 서버를 통해 라우팅 되어 있는 모든 사용자의 전체 네트워크망을 공격했다. 이렇게 DNS 서버를 공격하는 것은 일반적으로 수천 또는 수만 개의 도메인 이름에 대해 신뢰할 수 있는 DNS 서비스를 제공하기 때문에 서비스에 영향을 미치는 공격이 있는 경우 부수적으로 피해가 더 컸다. 이 때문에 외국에서는 국내보다 먼저 더 크게 미라이에게 먼저 한 방 먹으면서 큰 이슈가 되었다. 미라이가 보내는 DDoS 공격은 단순하지만, 그 양이 많아 굉장히 위협적이다.

DDoS 공격은 사용자가 웹 사이트에 요청을 보내면 자동으로 사용자의 요청에 반응하는 약점을 이용한 공격으로 웹 사이트에 대량의 요청을 보내 일을 가중화시켜 사이트를 마비시킨다. 즉, DDoS 공격은 악의적으로 많은 트래픽을 서버에 날려 서버를 마비시키는 것으로 인터넷 서비스를 제공하는 곳에 DDoS 공격은 특히나 효과적인 공격 유형이다. DDoS 공격은 심지어 새로고침 페이지를 반복적으로 요청하는것 조차 공격으로 판단되어 일반인의 간단한 행동에도 자신도 모르는 사이 공격이 될 수 있다. 더군다나 미라이 같은 경우 동시다발적으로 다양한 곳에서 매우 큰 규모의 공격으로 오기 때문에 그 누구도 방심할 수 없다.

실제로도 Dyn과 연계된 수십 개의 사이트 및 서비스에 접근하려는 사용자들 역시 서비스를 이용하지 못했다. 이러한 공격의 피해는 아시아권 보다 미국의 사용자들 위주로 피해 사례가 보고되었다. 보통 네트워크망은 물리적인 지형과 직접적인 영향이 있는 것은 아니지만, 이번 사건에서는 어느 정도는 영향이 있었다. DNS는 가장 가까운 DNS 서버로 향하기 때문에 미국 동부 지역에 있는 시카고, 뉴욕, 워싱턴의 Dyn 데이터센터 세 곳이 큰 타격을 받았다. 더불어, 공격자는 지역별로 나누어 전 세계 곳곳에 있는 Dyn 데이터센터를 공격하였다. 결국, 아시아권보다 미국의 피해사례가 더 컸던 이유는 미국 동부에 있는 Dyn에서 시작하여 지역 곳곳에 있는 데이터센터를 공격하여 지역화된 피해가 나타났다고 보인다.[14]

이 공격을 한 이가 누군지는 아무도 모른다. 단지 블로그 공격이 있고 난 후 약 2주 뒤인 10월 2일, 다크웹에 안나 센파이(Anna-senpai)라는 닉네임을 사용하는 이가 미라이 봇넷의 소스코드를 올렸다. 소스코드를 올릴 당시 제작자는 IoT 기반의 DDoS 분야를 떠나고 싶어 올린다는 이야기를 남겼다.[15] 소스코드가 공개된 후 많은 이들이 이에 대해 염려를 더했다. 소스코드가 공개되었으니 테스트를 해보려는 이들도 있을 것이고 소스코드가 변형되어 더 진화된 형태로 나올 것이라는 이야기도 있었다. 특히나 이 소스코드가 악의적으로 사용될 가능성에 대해 가장 많은 염려를 보였다. 이 같은 염려에 따라 실제로 한동안 네트워크망을 오가는 트래픽의 양도 더 늘어났었고 갈수록 늘어나는 추세다.

이미지를 불러오는데 실패했습니다.

소스코드가 공개된 이상 미라이는 계속해서 발전될 것이다. 특히나 미라이는 일회성 공격보다는 새로운 기능과 구성 요소를 추가할 수 있는 소프트웨어 플랫폼으로 구축되었다. 즉, 해커는 더 많은 기능을 추가한 다음 새 버전으로 배포할 수 있다. 이는 여태껏 봤던 봇넷 악성코드에서 볼 수 없었던 정교한 기능으로 결과적으로 미라이는 더 많은 IoT 디바이스를 감염시키고 공격을 더 증가시킬 수 있는 형태로 진화될 것이다.[16] 다른 이의 말로는 DDoS의 공격은 갈수록 더 거세질 것이며 2017년에는 1Tbps의 트래픽 공격이 보통의 트래픽 양의 공격이 될 것이라고 전망한다.[17]

실제로 약 한 달 전, 2016년 12월 28일에 미라이의 친구 릿(Leet) 봇넷이 나타났다. 릿 봇넷은 초당 650 Gbps의 트래픽을 발생시켰으며 특정 IP 주소로 공격이 집중된 것이 아니라 여러 대상을 겨냥한 공격패턴이라고 웹 방화벽업체인 임퍼바(Imperva)는 말했다. 릿 봇넷과 미라이 봇넷의 다른 점은 미라이는 트래픽 생성을 위해 임의의 문자열을 조합해서 쏟아내지만 릿 봇넷은 로컬 파일에 접근하여 콘텐츠를 손상한 후 이를 뒤섞인 형태로 트래픽을 생성한다.[18] 릿을 분석한 임퍼바는 이를 손상된 시스템 파일 수천 개가 뒤섞인 공격이라고 묘사했다.[19]

이처럼 미라이 봇넷이 더 활기를 칠 수 있었던 것은 어쩔 수 없는 네트워크의 문제도 있지만, 일부 제조업체들의 안이한 보안 의식이 원인이 되기도 한다. 같은 암호로 여러 IoT 디바이스의 기본적인 관리를 하고 있기도 하고 심지어는 보안을 걸어 놓지 않기도 한다.[20] 미라이 봇넷은 이를 이용하여 쉽게 장치에 침투하여 감염시킬 수 있다. 더불어, 이 같은 원인을 고치기 위해 수많은 IoT 디바이스에 보안패치를 하기에도 어려움이 있어 미라이 봇넷을 해결하기에는 오랜 시간이 걸릴 것 같다. 아니, 해결할 수 있을까..

=> 미라이 봇넷, IoT의 DDoS 공격 ①

미라이 봇넷, 그 녀석 ②

유성경 yuopboy@grayhash.com