사물인터넷(IoT) 기기를 감염시켜 먹통을 만드는 새로운 악성코드 '브리커봇(BrickerBot)'이 확산되고 있다. 지난해 유행한 미라이(Mirai)처럼 관리가 허술해 보안이 취약한 기기를 노리지만 다른 유형이다.
미국 지디넷은 19일(현지시간) 보안이 취약한 기기를 감염시켜 코드를 뒤섞어 못 쓰게 만들어버리는 새로운 유형의 IoT 기기 공격이 발생했다고 보도했다.
보안장비업체 라드웨어가 이를 최초 발견한 회사로 언급됐다. 라드웨어가 보유한 허니팟에 지난달부터 브리커봇이라는 맬웨어가 들어오기 시작했고 며칠에 걸쳐 수백건의 감염 기록을 남겼다.
맬웨어는 인터넷에서 쉽게 발견되는 기본 관리자명과 비밀번호를 사용해 공격 대상 기기에 연결했다. 이후 기기의 저장장치를 오염시켰다. 일명 '벽돌화(bricking)'라 불리는 영구적서비스거부(PDoS) 유도 공격을 수행하는 것이다.
이를 분석한 라드웨어 측은 이 공격의 시스템 손상 수준이 심각해, 피해를 입은 하드웨어는 교체나 재설치해야 한다고 설명했다. 피해 IoT 기기 유형이 웹캠인지 장난감인지 스마트 온도조절장치인지 등은 언급하지 않았다. 다만 비지박스(BusyBox) 툴킷을 구동해 텔넷포트가 열려 있어 인터넷을 통한 공격에 노출되는 리눅스 장치가 타깃이 될 수 있다고 묘사됐다.
IoT기기와 관련된 보안 문제는 현재 진행형이다. 지난해 명성을 떨친 IoT 악성코드 미라이처럼 감염 기기를 공격자가 제어할 수 있는 봇넷에 포섭시키는 사례가 앞서 알려졌다. 미라이도 보안이 취약한 기기를 노렸지만 감염 기기를 특정 웹사이트나 서비스에 감당불가한 인터넷 트래픽을 보내 시스템 다운을 유도하는 광범위한 대역폭 도용 공격에 동원한다는 점이 브리커봇과 달랐다.
피해양상은 다르지만 브리커봇이 IoT 기기를 감염시키는 방법은 미라이와 동일하다. 인터넷에서 손쉽게 얻을 수 있는 기본계정과 비밀번호 목록을 무작위대입해 관리자 권한을 얻는 식이다.
라드웨어 보안연구자들은 공격자가 네트워크장비업체 유비쿼티네트웍스의 기기를 표적으로 삼는 점에서 기존 공격 사례와의 유사성을 발견했다고 지적했다.
관련기사
- "한국서도…" ATM 털어가는 악성코드 열전2017.04.20
- "스마트폰 맬웨어 감염사례 10중 8은 안드로이드"2017.04.20
- 디도스 유발 악성코드 '미라이', 한국서도 발견2017.04.20
- 디도스 부르는 악성코드 미라이 '라이벌' 등장?2017.04.20
맬웨어는 기기 감염 후 기본게이트웨이를 제거한다. 유닉스계열 시스템의 모든 파일을 지워버리는 명령어를 실행한다. TCP 타임스탬프를 끈다. 커널쓰레드 최대수를 1로 제한한다. 방화벽 IP테이블과 NAT규칙을 모두 날려버린 뒤 나가려는 패킷을 모두 버린다(drop)는 규칙을 심는다.
카메라 장치에 이런 피해가 발생한 후 공장초기화를 수행했지만 복구되지 않았고 기기는 작동불능 상태가 됐다고 라드웨어 측은 설명했다.
