2024-03-28 19:40 (목)
30만 개 감염된 기기를 이용해 사물인터넷 세상을 정복하는 “Hajime”
상태바
30만 개 감염된 기기를 이용해 사물인터넷 세상을 정복하는 “Hajime”
  • 길민권 기자
  • 승인 2017.04.27 12:07
이 기사를 공유합니다

▲ Hajime 감염원의 국가별 분포
▲ Hajime 감염원의 국가별 분포
수수께끼처럼 진화를 거듭하는 IoT(사물인터넷) 악성코드로써 거대한 P2P 봇넷을 구축하는 Hajime의 활동에 대한 카스퍼스키랩의 조사가 발표됐다.

최근 이 봇넷은 전 세계에서 다양한 기기를 감염시키며 광범위하게 전파되고 있다. 지금까지 30만 개에 달하는 기기가 악성코드에 감염되어 네트워크가 형성됐으며, 이들 기기는 언제라도 서로 연동하여 피해자 모르게 악성코드 개발자의 지시를 수행할 수 있다. 그러나 Hajime의 진짜 목적이 무엇인지는 알려져 있지 않다.

Hajime는 ‘시작’을 뜻하는 일본어로, 이 악성코드의 활동 징후가 처음 눈에 띈 것은 2016년 10월이었다. 그 이후로 Hajime는 진화를 거듭하며 여러 새로운 유포 기술을 개발하고 있다. 이 악성 코드는 거대한 P2P 봇넷을 구축하는데, 이처럼 감염된 컴퓨터 여러 대가 분산되어 있는 조직적인 형태의 봇넷은스팸 또는 DDoS 공격을 수행하는 데 사용할 수 있다.

그러나 Hajime에는 공격 코드나 공격 기능은 없고 유포 모듈만 존재한다. 은밀하게 활동하는 지능형 악성코드 계열의 Hajime는 다양한 기술, 주로 기기 암호에 대한 무차별 대입 공격 기술을 사용하여 기기를 감염시킨 다음, 여러 가지 조치를 취해 감염된 피해자에게 탐지되지 않도록 정체를 숨긴다. 그렇게 하여 기기가 봇넷의 일부가 되는 것이다.

Hajime는 특정 유형의 기기만 공격하는 것이 아니라 인터넷상의 모든 기기를 공격하는 것으로 보이지만 그 중에서도 활동이 집중되는 기기는 있다. 공격 목표는 대부분 디지털 비디오 레코더인 것으로 밝혀졌으며 웹 카메라와 라우터가 그 뒤를 잇는다.

그러나 카스퍼스키랩 연구진에 따르면 General Electric, Hewlett-Packard, 미국 우편서비스, 미 국방부를 비롯해 다양한 개인 네트워크 등 Hajime가 기피하는 네트워크 또한 존재한다.

감염원은 주로 베트남(20% 이상), 대만(약 13%), 브라질(약 9%) 및 한국(5.9%) 등에서 비롯되었다. 또한 감염된 기기는 대부분 이란, 베트남, 브라질에 위치하고 있다.

카스퍼스키랩의 발표에 따르면 전반적으로 연구 기간 전체를 통틀어 Hajime 구성을 공유하는 고유한 기기는 최소 297,499개 이상인 것으로 드러났다.

카스퍼스키랩코리아의 이창훈 지사장은 “Hajime와 관련해 가장 흥미로운 점은 그 목적이다. 봇넷의 규모는 점점 더 거대해지고 있지만 목적이 무엇인지는 아직 알려진 바가 없고, 어떤 유형의 공격이나 추가적인 악성코드 활동에서도 그 흔적이 드러나지 않고 있다. 그러나 그렇다 해도 IoT 기기를 소유하고 있다면 기기 암호에 대한 무차별 대입 공격이 어렵도록 사용하는 기기의 암호를 변경하고 가급적 제조사의 펌웨어를 항상 최신으로 업데이트하는 것이 좋다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★