티스토리 뷰

지난주 금요일, 몇 차례에 걸쳐서 진행된 인터넷 디렉토리 서비스에 대한 대규모 사이버공격이 트위터, Spotify, SoundCloud 등의 여러 큰 웹 서비스들을 장시간 마비시켰습니다. 이 대규모 사이버공격은 보안에 취약한 IoT 기기들을 다수 사용하여 더욱 쉽게 공격을 행할 수 있었던 것으로 밝혀졌습니다.



이 장시간의 주요 서비스 마비는 DNS 제공자 Dyn에 대한 디도스(DDoS, Distributed Denial of Service) 공격으로 인해 발생했습니다. DNS는 사용자가 브라우저에 입력하는 도메인 주소(예를 들어 naver.com)에 대응하는 IP 주소로 사용자의 브라우저를 연결해주는 서비스입니다. 디도스 공격은 여러 개의 서로 다른 IP 주소를 사용하여 특정 웹 서비스에 접속해 무의미한 트래픽을 서버가 견딜 수 없을 만큼 많이 발생시켜 서비스를 다운시키는 공격을 말합니다. 보통 디도스 공격은 특정 웹사이트 서버에 대해 많이 이루어지는데, 이번의 경우에는 웹 서비스들과 사용자 사이에서 작용하는 DNS 제공자 Dyn을 공격했기 때문에 여러 웹 서비스를 한번에 마비시킬 수 있었던 것입니다. 트위터, Spotify, SoundCloud, Airbnb, Gitub, Reddit, Vox, 뉴욕 타임스 등 다수의 서비스들이 이 공격에 영향을 받았습니다. 아시아나 유럽의 사용자들은 미국 내의 사용자들만큼 크게 방해 받지는 않았다고 합니다.


이 공격이 있기 한달 전 9월 13일, 사이버보안 전문 블로그 KrebsonSecurity에 대해 디도스 공격이 이루어진 적이 있습니다. 이때 이루어진 공격의 트래픽 규모는 665 Gbps(초당 기가비트) 이전까지 이루어진 어떤 디도스 공격보다도 훨씬 큰 규모의 공격이었습니다. 게다가 이 디도스 공격에 사용된 방법은 이 정도로 큰 규모의 디도스 공격을 할 때 전통적으로 사용하는 방법이 아닌 새로운 방법이었다고 합니다. 바로 보안 관리가 제대로 되지 않고 있는 IoT 기기들을 활용하는 방법이었습니다.


보통 디도스 공격은 트래픽을 발생시키기 위해 여러 IP 주소의 호스트들(컴퓨터, 라우터 등 고유의 IP 주소를 가진 기기들)을 사용해야 합니다. 그렇기 때문에 보통 보안에 취약한 호스트들을 노려 악성 소프트웨어를 사용해 그들의 통제권을 빼앗은 후 사용합니다. 이렇게 디도스 공격자들이 사용하는 여러 IP 주소 호스트들의 집합을 봇넷(Botnet)이라고 합니다. KerbsonSecurity는 조사 결과 그들에게 행해진 디도스 공격에 사용된 봇넷이 웹캠, 보안카메라 등 다수의 보안에 취약한 IoT 기기들로 이루어진 봇넷이라는 것을 밝혔습니다.





설상가상으로, 이렇게 IoT 봇넷을 구성할 수 있게 해주는 악성 소프트웨어의 소스코드가 10월 16일 Hackforums라는 해킹 커뮤니티에 유출이 되었습니다. Mirai라는 이름이 붙여진 이 말웨어는 인터넷에 연결된 IoT 기기 중 보안관리자 아이디와 비밀번호로 공장초기화 값을 그대로 사용하는 취약한 IoT 기기들을 주기적으로 찾아내 줍니다. 이 코드를 유출시킨 Anna-senpai라는 가명의 해커는 Mirai를 사용해서 telnet 프로토콜 네트워크에서만 38만개의 봇을 확보할 수 있었다고 합니다. 그가 왜 이 코드를 공개했는지는 불확실하지만, 보안 당국이 점점 수사망을 좁혀오는 것을 회피하기 위해 그런 것으로 추측됩니다. 


KrebsonSecurity의 운영자 Brian Krebs는 당시 이 유출로 인해 앞으로 이런 대규모의 디도스 공격이 더 많이 이루어질 것이 분명하다고 추측했습니다. 그리고 정확히 5일 뒤인 지난주 금요일, Dyn에 대한 디도스 공격이 이루어진 것입니다. Dyn에 대한 공격이 Mirai를 이용했는지 명확한 증거는 아직 없지만, 이전에는 찾아볼 수 없었던 트래픽 규모, 활용하는 IP의 다양성 등을 보았을 때 IoT 기기들이 이번 공격에 사용된 것이 확실하다고 보는 견해가 지배적입니다.




“전 세계적으로 인터넷 유저는 34억 명이 있지만, IoT 기기들은 100억~150억 개 정도가 있습니다. 이것은 너무 복잡한 세계이고 우리가 할 수 있는 유일한 일은 잘 무장하여 이 문제를 어떻게 해결할 것인지 함께 고민해보는 것입니다.” 라고 Dyn의 최고전략가 Kyle York가 말했습니다.


IoT 기기는 기하급수적으로 늘어나고 있는 데에 반해, IoT 보안에 대한 우려의 목소리는 늘 있었지만 대대적으로 IoT 보안이 강화되었던 적은 거의 없었습니다. 이런 취약한 IoT 보안을 이용한 DDoS 공격은 이제 시작에 불과할 것입니다. 아직까지 사람들은 IoT가 인터넷이라는 거대한 네트워크의 큰 부분을 차지하고 있다는 사실에 매우 둔감했을 것입니다. 하지만 이번 사건은 잘못 관리된 IoT의 네트워크가 인터넷 전체에 지대한 영향을 줄 수 있다는 메시지를 분명히 전하고 있습니다. 발달된 IoT의 생태계에 걸맞는 IoT 보안 체계, 이제는 정말 그 중요성을 자각하고 만들어야 할 때가 된 것 같습니다.


참고기사


Large DDoS attacks cause outages at Twitter, Spotify, and other sites


How massive DDoS attacks are undermining the Internet



에티 페이스북 페이지를 통해 다른 에티 소식도 받아보세요

저작자 표시 비영리 변경 금지
신고
댓글
댓글쓰기 폼