🎃 Mozi 봇넷 악성코드 해킹 사례를 통해 살펴본 IoT 장비에 대한 해킹 유형 및 대응 방안
💾 주제
IoT 장비에 대한 악성코드 감염 공격과 이에 대한 보안 당국의 대응 방안
💾 현실 문제
“전 세계 IoT 장비 1만 2,000여 대, ‘Mozi 봇넷’ 감염됐다”
- 전 세계 72개국 사물인터넷(IoT) 장비 1만 1,700여대가 ‘Mozi 봇넷’이라는 악성코드에 감염
- 유·무선 공유기, CCTV, 영상녹화장비, PC 일체형 광고 모니터
- ‘Mozi 봇넷’
- 보안에 취약한 비밀번호, 최신 소프트웨어를 사용하지 않는 장비 등을 공격해서 악성코드를 감염시킨 후 감염된 장비를 DDoS 공격을 위한 좀비 PC로 활용하는 악성코드
- 감염된 일부 IoT 장비는 암호화폐 채굴용 악성코드 유포를 위한 경유지로 활용
- 이번 피해는 제품 구매 당시 설정된 비밀번호를 바꾸지 않거나, 제3자가 쉽게 추측할 수 있는 비밀번호를 사용하는 장비가 주요 공격 대상
- 최근 사이버 공격은 국경도 없고 민간과 공공의 구분이 무의미하며 그 수법도 날로 고도화·지능화, 대량화
- 과거 사례
- 2021.10
- 국내외 유무선 공유기·IP카메라 등 네트워크 장비 800여대가 국제 랜섬웨어 해킹조직의 사이버 공격에 이용
- 2021.11
- 국산 NAS 4,000여대가 해킹에 취약 → 소프트웨어 업데이트를 통해 선제적으로 피해 확산을 차단
- 월패드 해킹 사건
- IoT로 연결된 집안 가전제품이 지난해 하반기 아파트 월패드 해킹 사건의 통로
- 이번 사건은 CCTV와 영상녹화장비 등 다른 IoT 장비가 해커들의 주요 공략 대상이 된 셈
- 2021.10
💾 Mozi 봇넷의 원리
Mozi봇넷이 IoT 장비를 악성코드에 감염시킨 원리
🐧‘Mozi 봇넷’의 해킹적 의미는?
**미라이(Mirai)**를 기반으로 한 IoT 봇넷 멀웨어, 주로 디도스 공격에 활용, 주로 넷기어(Netgear), 화웨이(Huawei), ZTE에서 생산된 네트워크 게이트웨이 장비들을 노리는 것
- 미라이
-
- 09 악성코드 미라이에 감염된 가정용 공유기, 보안 카메라, DVR 등의 좀비화된 기기가 다인(Dun)이라는 서비스를 디도스 공격한 사고 발생
- 미라이에 감염된 기기가 600Gbps 이상에 해당하는 악의적인 공격 트래픽 발생
- 다인 서버 : 트위터, 스포티파이, 넷플릭스 서비스를 제공하는 서버 → 디도스 공격으로 트래픽이 다인 서버에 집중되면서 트위터, 스포티파이, 넷플릭스 등의 서비스 접속 장애 발생
-
🐧‘Mozi 봇넷’의 공격 유형은?
- IoT 해킹 유형https://blog.lgcns.com/1462
- 서버에 대한 위협 : 인터넷을 통해 서버를 직접 공격
- 기기에 대한 위협 (기기 : HW를 지칭, 케이스 보호 장치, 무선 근거리 통신 모듈, 디버깅 포트, 메모리와 CPU)
- 기기를 장악한 후, 서버의 인증을 우회하여 데이터 변경
- 원격이나 근처 무선랜을 통한 경로, 케이스를 분해한 후 통신 버스나 칩을 물리적으로 접근
- 그 외의 위협
- 네트워크 프록시(Proxy)를 설치하여 중간자 공격
- 암호화된 통신문을 캡처
- 서버나 단말을 복제하여 신뢰된 네트워크에 참여
- ‘Mozi 봇넷’의 기반이 된 미라이의 해킹 유형
- 콘솔 접근 또는 로컬 버스 커뮤니케이션 공격
- 👉 디폴트 비밀번호 및 복호화 키 알아냄
- 디폴트 비밀번호 대입 공격
- (네트워크 통신 공격)
💾 기존 연구 및 대응 방안
🔥 다양한 보안 위협이 존재하므로 가능한 누락 없이 보안 위협 경우의 수를 도출하여 상황마다 적절한 대응 기술을 준비해야 한다.
🔥 IoT 기기에서 발견되는 보안 허점을 모두 보완해야 한다.
🦉 IoT 보안 기술 분류
- 모지 봇넷과 미라이 해킹에 예방하기 위해선, 공통 계층의 대칭 비대칭 키 관리, 패스워드 관리, IoT 보안 인증이 필요
- 서비스 계층의 웹 서비스 보안을 위한 업데이트 보안 필요
- 제품 자체에서의보안으로는 펌웨어 암호화와 서명, 기기 방화벽, 시큐어 업데이트 등이 필요
🦉 최근 기업에서 실무 적용을 위해 검토 및 논의가 진행되는 보안 기술
- 디폴트 비밀번호를 이용한 미라이와 비밀번호 변경을 예방 조치로 내세운 모지 봇넷의 경우, 칩 보안과 경량 암호화 기술이 더욱 적용될 필요가 있다.
'5. 방학 활동 > 보고서 분석' 카테고리의 다른 글
[2022.02.12] KISA 2021 하반기 사이버 위협 동향 보고 - Log4j (0) | 2022.03.01 |
---|---|
[2022.02.28] 방학활동 - 네트워크 해킹 및 보안 - '유명 손해보험사 위장 피싱 메일로 ‘Remcos’ 악성코드 유포' (0) | 2022.03.01 |
[2022.02.20] 방학활동 - 네트워크 해킹 및 보안 - ‘클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래?’ (0) | 2022.03.01 |
[2022.02.08] 방학활동 - 네트워크 해킹 및 보안 - ‘모든 분야에 메타버스가 대세라는데... 보안은 괜찮은거야?’ (0) | 2022.03.01 |
[2021.02.23] 6회차 - 공격 시나리오별 특성 추출에 따른 분류 및 결론 (0) | 2021.03.24 |