2016년 9월 브라이언 크렙스의 블로그 크렙스온시큐리티(KrebsOnSecurity)와 프랑스 인터넷 호스팅 업체 OVH에 대해 기록적인 DDoS 공격이 발생하고 2016년 10월 21일 금요일 오전 미국 인터넷 호스팅 서비스업체 딘(Dyn)이 DDoS 공격을 당한 사건이 일어났다. 이로 인해 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드 클라우드(SoundCloud), 트위터(Twitter), 뉴욕타임스(The New York Times) 등 여러 사이트에서 접속 장애가 발생했다. 이들 공격에는 사물인터넷(Internet of Things, IoT)을 감염시키는 미라이(Mirai)라는 악성코드가 이용되었음이 밝혀진다.


현재 여러 운영체제가 IoT의 주도권을 놓고 경쟁하고 있으며 이중 임베디드 리눅스(Embedded Linux)가 많이 사용되고 있다. 우리가 흔히 접할 수 있는 인터넷 공유기, 셋톱 박스, NAS(Network Attached Storage), 디지털 비디오 레코더, IP 카메라 등에 임베디드 리눅스가 이용되고 있다. 이들 시스템은 데스크톱과 비교했을 때는 저성능이지만 다른 IoT 제품보다는 컴퓨터에 가까워 공격자들의 우선 목표가 되고 있다.

이러한 임베디드 리눅스 시스템을 겨냥한 악성코드는 2008년 처음 보고되었다. 


초기 임베디드 리눅스 악성코드는 밉스(MIPS) 프로세스를 사용하는 인터넷 공유기만 감염시킬 수 있었지만, 2012년 발견된 에이드라(Aidra) 웜은 밉스 외 다양한 프로세스를 지원해 인터넷 공유기뿐 아니라 셋톱 박스 등 다양한 임베디드 리눅스 환경에서 활동할 수 있었다. 많은 임베디드 리눅스 악성코드는 DDoS 공격 기능이 주 목적이지만 2013년 발견된 달로즈(Darlloz)는 비트코인과 같은 가상 화폐 채굴이 주목적이다. 2014년 말 리자드 스쿼드(Lizard Squad)란 그룹에서 가프지트(Gafgyt) 변형으로 일으킨 DDoS 공격으로 게임 관련 웹 사이트 장애가 발생하기도 했다. 2016년에는 미라이에 의해 9월과 10월 대규모 DDoS 공격이 발생한다. 공격에는 기존 인터넷 공유기뿐 아니라 DVR(Digital Video Recorder), IP 카메라 등의 사물인터넷 기기가 이용되었다


이 가운데 특정 기기만 감염시키는 악성코드나 지속적으로 변형이 나오지 않는 악성코드를 제외하고 많이 발견되고 있는 악성코드는 에이드라(Aidra), 달로즈(Darlloz), 가프지트(Gafgyt), 피엔스캔(Pnscan), 미라이(Mirai) 등이다. 이들 5 종류 악성코드 발견 현황을 보면 2012년 36개, 2013년 26개, 2014년 348개, 2015년 1,180개, 2016년 9,125개다. 참고로 2016년 통계는 10월 31일까지의 집계로, 연말까지 1만 개 이상의 악성코드가 보고될 것으로 예상된다. 이처럼 임베디드 리눅스 기반 악성코드는 2014년 이후 폭발적인 증가세를 보이고 있다.

V3에서는 이들 파일을 Linux/Aidra, Linux/Darlloz, Linux/Gafgyt, Linux/Pnscan, Linux/Mirai 등으로 진단하고 있지만 사물인터넷에는 백신 프로그램을 설치 할 수 없이 사물인터넷에 감염된 악성코드를 직접 진단할 수는 없다.

이들 악성코드 예방을 위해 사물인터넷의 취약한 암호를 변경해줘야 한다. 



보다 상세한 사물인터넷 관련 악성코드 동향은 다음 주소에서 확인 할 수 있다.

- IoT 환경 위협하는 ‘리눅스 악성코드 Top 5’ (월간 안 201612호)
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25779


- '임베디드 리눅스 기반 사물인터넷(IoT) 보안위협 동향 보고서' 전문

http://download.ahnlab.com/kr/site/library/[AhnLab]_Embedded_Linux_Malware_201612.pdf



저작자 표시
신고
Posted by mstoned7