악성 공격자들이 사이버 공격의 범위를 확장하기 위해 사용하는 주요 전략 중 하나는 봇넷을 활용하는 것입니다.
봇넷은 악성코드에 감염되어 원격에서 악의적인 행위자에 의해 제어되는 컴퓨터 네트워크를 의미합니다. 이러한 감염된 컴퓨터 그룹을 조종하는 악성 행위자를 ‘봇 허더’라고 부르며, 감염된 개별 기기는 ‘봇’이라고 지칭합니다.
봇 허더는 감염된 컴퓨터 네트워크를 통해 훨씬 대규모의 사이버 공격을 수행할 수 있습니다. 봇넷은 대규모 서비스 거부 공격(DoS), 피싱, 스팸 공격 및 데이터 탈취 등 다양한 악성 활동에 광범위하게 사용되어 왔습니다.
디지털 기기를 납치하여 거대한 봇넷을 구축한 악성코드의 대표적인 예로는 ‘미라이(Mirai)’ 봇넷 악성코드를 들 수 있습니다. 미라이는 특히 리눅스 운영체제를 사용하는 사물인터넷(IoT) 기기의 취약점을 악용하는 악성 봇넷입니다.
미라이에 감염된 IoT 기기는 원격으로 제어되는 봇으로 변모하여 대규모 사이버 공격을 수행하는 봇넷의 일원으로 활용될 수 있습니다. 미라이는 주로 C언어와 GO언어로 작성되었습니다.
이 악성코드는 2016년, DNS(Domain Name System) 제공업체인 DYN을 대상으로 한 분산 서비스 거부(DDOS) 공격에 사용되면서 주목을 받았습니다. 이 공격으로 인해 인터넷 사용자들은 Airbnb, Amazon, Twitter, Reddit, Paypal 및 Visa와 같은 주요 웹사이트에 접속할 수 없었습니다.
미라이 악성코드는 또한 사이버 보안 웹사이트인 Krebs on Security와 프랑스의 클라우드 컴퓨팅 회사인 OVHCloud에 대한 DDOS 공격에도 사용된 것으로 알려져 있습니다.
미라이 봇넷은 어떻게 탄생했을까?
미라이 악성코드는 당시 20대 초반의 학생이자 DDOS 공격 완화 서비스를 제공하는 회사인 ProTraf Solutions의 창립자인 Paras Jha와 Josiah White에 의해 개발되었습니다. 미라이 봇넷 악성코드는 C 및 Go 프로그래밍 언어를 사용하여 만들어졌습니다.
미라이의 초기 목표는 DDOS 공격을 통해 경쟁 마인크래프트 서버를 무너뜨리고 경쟁 우위를 확보하여 더 많은 고객을 유치하는 것이었습니다.
그러나 이들의 미라이 사용은 갈취 및 공갈 행위로 변질되었습니다. 이들은 기업을 대상으로 DDOS 공격을 시작한 후, 공격 대상 기업에 연락하여 DDOS 공격 완화 서비스를 제공하겠다고 제안했습니다.
미라이 봇넷은 Krebs on Security 웹사이트를 다운시키고 OVH를 공격하는 데 사용된 후, 당국과 사이버 보안 커뮤니티의 주목을 받게 되었습니다. 미라이 봇넷이 큰 관심을 받자, 제작자들은 공개적으로 접근 가능한 해킹 포럼에 미라이 봇넷의 소스 코드를 유출했습니다.
이는 자신들의 흔적을 감추고 미라이 봇넷을 이용한 DDOS 공격에 대한 책임을 회피하려는 시도였을 가능성이 높습니다. 미라이 봇넷의 소스 코드는 다른 사이버 범죄자들에 의해 악용되어 오키루, 마스터, 사토리, 퓨어마스터 등 미라이 봇넷의 다양한 변종들을 탄생시켰습니다.
결국 미라이 봇넷의 제작자들은 FBI에 체포되었지만, 다른 사이버 범죄자를 체포하고 사이버 공격을 예방하는 데 FBI와 협력했기 때문에 가벼운 형량을 받았습니다.
미라이 봇넷의 작동 원리
미라이 봇넷의 공격 과정은 다음과 같습니다.
- 미라이 봇넷은 먼저 인터넷의 IP 주소를 스캔하여 Arc 프로세서에서 리눅스를 실행하는 IoT 기기를 찾습니다. 그런 다음 암호로 보호되지 않거나 기본 자격 증명을 사용하는 기기를 식별하고 공격 대상으로 삼습니다.
- 취약한 기기를 확인하면, 미라이는 미리 알려진 다양한 기본 자격 증명을 시도하여 기기에 대한 네트워크 접근을 시도합니다. 만약 기기가 기본 설정 상태를 유지하거나 암호로 보호되어 있지 않다면, 미라이는 해당 기기에 로그인하여 감염시킵니다.
- 그 후, 미라이 봇넷은 해당 기기를 검사하여 다른 악성코드에 감염되어 있는지 확인합니다. 만약 다른 악성코드가 발견되면, 해당 악성코드들을 제거하여 장치에서 미라이 악성코드만이 유일하게 작동하게 하여 기기를 더욱 효과적으로 제어합니다.
- 미라이에 감염된 기기는 미라이 봇넷의 일부가 되어 중앙 서버로부터 원격으로 제어됩니다. 이러한 기기는 중앙 서버의 명령을 기다리며 대기합니다.
- 감염된 기기는 다른 기기를 감염시키는 데 사용되거나, 웹사이트, 서버, 네트워크 또는 인터넷을 통해 접근 가능한 다른 자원에 대한 대규모 DDOS 공격을 실행하는 데 활용됩니다.
미라이 봇넷이 특정 IP 범위를 목표로 하지 않거나 감염시키지 않는다는 점에 유의해야 합니다. 이는 미국 국방부 및 미국 우편 서비스에 할당된 사설 네트워크와 IP 주소도 포함됩니다.
미라이 봇넷이 주로 노리는 기기 유형
미라이 봇넷의 주요 공격 대상은 ARC 프로세서를 사용하는 IoT 기기입니다. 미라이 봇 개발자 중 한 명인 Paras Jha에 따르면 미라이 봇넷에 감염되어 악용되는 대부분의 IoT 기기는 라우터였습니다.
그러나 미라이 봇넷의 잠재적 피해자 목록에는 ARC 프로세서를 사용하는 다른 IoT 기기도 포함됩니다.
여기에는 보안 카메라, 베이비 모니터, 온도 조절기, 스마트 TV와 같은 스마트 홈 기기, 피트니스 트래커 및 시계와 같은 웨어러블 기기, 혈당 모니터 및 인슐린 펌프와 같은 의료 IoT 기기 등이 포함될 수 있습니다. 또한 ARC 프로세서를 사용하는 산업용 IoT 기기 및 의료 IoT 기기도 미라이 봇넷의 공격 대상이 될 수 있습니다.
미라이 봇넷 감염 여부 확인 방법
미라이 봇넷은 은밀하게 공격하도록 설계되었기 때문에, IoT 기기가 미라이 봇넷에 감염되었는지 확인하는 것은 쉽지 않습니다. 그러나 다음과 같은 몇 가지 징후를 통해 감염 가능성을 짐작해 볼 수 있습니다.
- 인터넷 연결 속도 저하 – IoT 기기가 DDOS 공격에 동원되면 인터넷 속도가 눈에 띄게 느려질 수 있습니다.
- 비정상적인 네트워크 트래픽 – 네트워크 활동을 꾸준히 모니터링하는 경우, 갑작스러운 네트워크 트래픽 증가나 낯선 IP 주소로의 요청 전송을 확인할 수 있습니다.
- 기기 성능 저하 – IoT 기기가 최적의 성능을 발휘하지 못하거나, 자체적으로 종료 및 재시작하는 등 비정상적인 동작을 보일 경우 미라이 감염 가능성을 의심해봐야 합니다.
- 기기 설정 변경 – 미라이 봇넷은 IoT 기기의 설정 또는 기본 설정을 변경하여 향후 더 쉽게 악용하고 제어하려고 시도할 수 있습니다. 만약 기기 설정이 변경되었는데 사용자가 변경한 적이 없다면, 미라이 봇넷 감염을 의심해 볼 수 있습니다.
위에 언급된 징후들을 통해 기기 감염 여부를 확인할 수 있지만, 미라이 봇넷은 감지하기 어렵게 만들어졌기 때문에 눈치채기가 쉽지 않을 수 있습니다. 따라서 미라이 봇넷으로부터 IoT 기기를 보호하는 최선의 방법은 감염을 예방하는 것입니다.
만약 IoT 기기가 감염되었다고 의심되는 경우, 즉시 네트워크에서 연결을 해제하고 위협이 제거된 후에만 기기를 다시 연결해야 합니다.
미라이 봇넷 감염으로부터 기기를 보호하는 방법
미라이 봇넷은 잘 알려진 여러 기본 설정을 무작위로 시도하여 사용자가 여전히 기본 설정을 사용하고 있는지 확인하는 방식으로 IoT 기기를 감염시킵니다.
만약 기본 설정이 유지되고 있다면, 미라이 봇넷은 기기에 로그인하여 감염을 시도합니다. 따라서 미라이 봇넷으로부터 IoT 기기를 보호하는 가장 중요한 단계는 기본 사용자 이름과 비밀번호를 사용하지 않는 것입니다.
사용자 이름과 비밀번호를 변경하고, 쉽게 추측할 수 없는 강력한 암호를 사용해야 합니다. 임의 비밀번호 생성기를 사용하여 고유하고 추측하기 어려운 암호를 생성할 수도 있습니다.
또 다른 예방 조치는 기기의 펌웨어를 정기적으로 업데이트하고, 보안 패치가 공개될 때마다 설치하는 것입니다. 기기의 취약점이 발견되면, 제조사들은 보안 패치를 배포하는 경우가 많으므로 보안 패치를 즉시 설치하면 공격자보다 한발 앞설 수 있습니다. IoT 기기에 원격 접속 기능이 있다면, 필요하지 않은 경우 해당 기능을 비활성화하는 것이 좋습니다.
그 외에, 네트워크 활동을 꾸준히 모니터링하고, 중요한 기기가 가정 네트워크의 다른 기기들과 분리될 수 있도록 홈 네트워크를 분할하는 것도 좋은 예방 조치가 될 수 있습니다.
결론
미라이 봇넷의 개발자들은 당국에 체포되었지만, 미라이 봇넷 감염의 위험은 여전히 남아 있습니다. 미라이 봇넷의 소스 코드가 공개된 이후, IoT 기기를 대상으로 삼아 더 많은 제어 권한을 획득할 수 있는 다양한 변종들이 등장했습니다.
따라서 IoT 기기를 구매할 때, 기기 제조사에서 제공하는 보안 기능을 가장 먼저 고려해야 합니다. 잠재적인 악성코드 감염을 예방할 수 있는 보안 기능이 탑재된 IoT 기기를 구입하는 것이 중요합니다.
또한, 기기에서 기본 설정을 사용하지 않고 정기적으로 기기의 펌웨어를 업데이트하여 최신 보안 패치를 적용해야 합니다.
또한 사이버 공격을 신속하게 탐지하고 대응하기 위한 EDR 솔루션을 알아보는 것도 좋은 방법입니다.