본문 바로가기

5. 방학 활동/보고서 분석

[2022.01.30] 방학활동 - 네트워크 해킹 및 보안 - ‘전 세계 IoT 장비 1만 2,000여 대, ‘Mozi 봇넷’ 감염됐다’

🎃 Mozi 봇넷 악성코드 해킹 사례를 통해 살펴본 IoT 장비에 대한 해킹 유형 및 대응 방안

💾 주제

IoT 장비에 대한 악성코드 감염 공격과 이에 대한 보안 당국의 대응 방안

💾 현실 문제

전 세계 IoT 장비 1만 2,000여 대, ‘Mozi 봇넷’ 감염됐다”

  • 전 세계 72개국 사물인터넷(IoT) 장비 1만 1,700여대가 ‘Mozi 봇넷’이라는 악성코드에 감염
    • 유·무선 공유기, CCTV, 영상녹화장비, PC 일체형 광고 모니터
  • ‘Mozi 봇넷’
  • 보안에 취약한 비밀번호, 최신 소프트웨어를 사용하지 않는 장비 등을 공격해서 악성코드를 감염시킨 후 감염된 장비를 DDoS 공격을 위한 좀비 PC로 활용하는 악성코드
  • 감염된 일부 IoT 장비는 암호화폐 채굴용 악성코드 유포를 위한 경유지로 활용
  • 이번 피해는 제품 구매 당시 설정된 비밀번호를 바꾸지 않거나, 제3자가 쉽게 추측할 수 있는 비밀번호를 사용하는 장비가 주요 공격 대상
  • 최근 사이버 공격은 국경도 없고 민간과 공공의 구분이 무의미하며 그 수법도 날로 고도화·지능화, 대량화
  • 과거 사례
    • 2021.10
      • 국내외 유무선 공유기·IP카메라 등 네트워크 장비 800여대가 국제 랜섬웨어 해킹조직의 사이버 공격에 이용
    • 2021.11
      • 국산 NAS 4,000여대가 해킹에 취약 → 소프트웨어 업데이트를 통해 선제적으로 피해 확산을 차단
      1. 월패드 해킹 사건
      • IoT로 연결된 집안 가전제품이 지난해 하반기 아파트 월패드 해킹 사건의 통로
      • 이번 사건은 CCTV와 영상녹화장비 등 다른 IoT 장비가 해커들의 주요 공략 대상이 된 셈

💾 Mozi 봇넷의 원리

Mozi봇넷이 IoT 장비를 악성코드에 감염시킨 원리

🐧‘Mozi 봇넷’의 해킹적 의미는?

**미라이(Mirai)**를 기반으로 한 IoT 봇넷 멀웨어, 주로 디도스 공격에 활용, 주로 넷기어(Netgear), 화웨이(Huawei), ZTE에서 생산된 네트워크 게이트웨이 장비들을 노리는 것

  • 미라이
      1. 09 악성코드 미라이에 감염된 가정용 공유기, 보안 카메라, DVR 등의 좀비화된 기기가 다인(Dun)이라는 서비스를 디도스 공격한 사고 발생
    • 미라이에 감염된 기기가 600Gbps 이상에 해당하는 악의적인 공격 트래픽 발생
    • 다인 서버 : 트위터, 스포티파이, 넷플릭스 서비스를 제공하는 서버 → 디도스 공격으로 트래픽이 다인 서버에 집중되면서 트위터, 스포티파이, 넷플릭스 등의 서비스 접속 장애 발생

🐧‘Mozi 봇넷’의 공격 유형은?

  1. IoT 해킹 유형https://blog.lgcns.com/1462
    1. 서버에 대한 위협 : 인터넷을 통해 서버를 직접 공격
    2. 기기에 대한 위협 (기기 : HW를 지칭, 케이스 보호 장치, 무선 근거리 통신 모듈, 디버깅 포트, 메모리와 CPU)
    • 기기를 장악한 후, 서버의 인증을 우회하여 데이터 변경
    • 원격이나 근처 무선랜을 통한 경로, 케이스를 분해한 후 통신 버스나 칩을 물리적으로 접근
    1. 그 외의 위협
    • 네트워크 프록시(Proxy)를 설치하여 중간자 공격
    • 암호화된 통신문을 캡처
    • 서버나 단말을 복제하여 신뢰된 네트워크에 참여
  2. ‘Mozi 봇넷’의 기반이 된 미라이의 해킹 유형
    1. 콘솔 접근 또는 로컬 버스 커뮤니케이션 공격
    2. 👉 디폴트 비밀번호 및 복호화 키 알아냄
    3. 디폴트 비밀번호 대입 공격
    4. (네트워크 통신 공격)

💾 기존 연구 및 대응 방안

🔥 다양한 보안 위협이 존재하므로 가능한 누락 없이 보안 위협 경우의 수를 도출하여 상황마다 적절한 대응 기술을 준비해야 한다.

🔥 IoT 기기에서 발견되는 보안 허점을 모두 보완해야 한다.

 

🦉 IoT 보안 기술 분류

  • 모지 봇넷과 미라이 해킹에 예방하기 위해선, 공통 계층의 대칭 비대칭 키 관리, 패스워드 관리, IoT 보안 인증이 필요
  • 서비스 계층의 웹 서비스 보안을 위한 업데이트 보안 필요
  • 제품 자체에서의보안으로는 펌웨어 암호화와 서명, 기기 방화벽, 시큐어 업데이트 등이 필요

🦉 최근 기업에서 실무 적용을 위해 검토 및 논의가 진행되는 보안 기술

  • 디폴트 비밀번호를 이용한 미라이와 비밀번호 변경을 예방 조치로 내세운 모지 봇넷의 경우, 칩 보안과 경량 암호화 기술이 더욱 적용될 필요가 있다.