2024-03-29 20:15 (금)
국내 백화점∙은행 지점 등 무선AP 보안 취약해…봇넷 감염 위험성 커
상태바
국내 백화점∙은행 지점 등 무선AP 보안 취약해…봇넷 감염 위험성 커
  • 길민권 기자
  • 승인 2017.03.07 15:45
이 기사를 공유합니다

노르마, 167개 무선AP에 연결된 1천254개 기기 조사결과…115대 취약

▲ 정현철 노르마 대표 "스마트폰이 외부 악성코드를 실행하는 매개체가 되고 있다"
▲ 정현철 노르마 대표 "스마트폰이 외부 악성코드를 실행하는 매개체가 되고 있다"
IoT 기기에 대한 보안위협이 급증하고 있다. 지난해 트위터와 아마존, 페이팔 등 주요 웹사이트를 마비시긴 사건도 미라이 봇넷에 감염된 49만대 이상의 IoT 기기를 활용한 공격이었다. 특히 미라이 봇넷 소스코드가 오픈되면서 지난해 12월 기준 감염 IoT 기기가 140만 7천여개로 조사됐다. 한국도 미라이 봇넷에 감염된 IoT 기기수가 급증하고 있다.

최근 아카마이 분석에 따르면 한국도 미라이 봇넷에 감염된 IP가 2만7천570개로 나타나 세계에서 7번째로 많은 감염국가로 조사됐다. 언제 대형 사고가 터질지 모르는 심각한 수준임을 알 수 있다.

미라이 코드에 감염된 IoT 기기는 관리자 계정설정이 취약한 CCTV, NAS 등 IoT 단말 접속 및 스캔 과정에서 전파된다. 감염된 IoT 기기는 명령지 서버 명령에 따라 대규모 DDoS 공격을 수행하게 된다.

도이치 텔레콤 라우터 사고도 변종 미라이 악성코드가 취약한 인터넷 라우터를 공격해 50만대 이상의 인터넷 연결기기를 감염시킨 것이다. 변종 코드는 특정 라우터 제품군의 취약점을 공격하도록 강화된 특징을 가지고 있다.

또 서아프리카 라이베리아에 ‘Botnet 14’에 의한 미라이 악성코드 기반 공격이 발생해 국가 전체 인터넷이 마비된 바 있다.

이에 대해 정현철 노르마 대표는 “향후 더 큰 공격에 활용할 사이버 무기를 테스트하는 차원이었을 가능성이 있다”며 “해킹된 전세계 7만여대 CCTV영상이 Insecam 사이트에서 실시간 중계된 사건도 있다. CCTV 관리자페이지를 해킹해 손쉽게 영상조작이 가능하다는 것을 보여준 사례다. 또 POS 해킹으로 탈취한 신용카드 정보를 판매하는 온라인몰도 발견됐다. 23번 포트(Telnet)가 오픈된 경우 타깃이 되고 있다. 한편 집주인 스마트폰이 악성코드에 감염되면 관리자 권한을 탈취해 간단하게 오픈이 가능하고 IoT 기기를 조정하는 첨단 절도 사건도 발생할 가능성이 있다”고 우려했다.

특히 최근 보편화되고 있는 CCTV에 대해 정 대표는 “아이들 모니터링 차원에서 설치한 홈CCTV 특성상 신규 사용자 추가에 별도 승인절차가 없어 쉽게 타깃이 되고 있으며 트렌드넷 유아용 CCTV로 촬영된 실시간 영상도 유포된 바 있다. 고객 수백명의 사생활이 공개된 사건이다. 또 반려동물의 안전을 위해 설치한 CCTV가 보안에는 무방비 상태에 있어 사용자들의 해킹 피해 제보가 급증하는 추세다”라고 밝혔다.

2022년까지 국내 IoT 시장은 연평균 29% 가량 성장한다는 전망이 나오고 있는 가운데 아파트 도어록, CCTV 등 IoT 해킹 발생과 악성코드에 감염된 기기를 활용한 대규모 DDoS 공격이 우려되는 상황이다. 그럼에도 불구하고 IoT 기기에 대한 보안 리소스는 부족하고 관련 백신 및 기기 제작시 별도 기술표준도 없다. 대책이라고는 비밀번호 변경과 부품교체 수준에 머물러 있다.

산업연구원 자료에 따르면 향후 IoT 보안사고로 인한 경제적 피해 추산치는 2030년 26조가 넘을 것으로 조사됐고 2020년까지 약 300억대의 IoT 디바이스가 보급될 것을 감안하면 신속한 보안대책이 요구된다.

▲ 노르마의 IoT 점검 방법
▲ 노르마의 IoT 점검 방법
한편 무선 및 IoT 보안 전문기업 노르마는 2016년 말 IoT 보안 전문기술 및 서비스 기획, 개발과 동시에 보안 실태 파악 차원에서 서울 강남, 신촌, 홍대, 신도림, 여의도, 판교, 분당 등 유동인구가 많고 사람들이 손쉽게 와이파이에 접속할 수 있는 20여 개 지역을 대상으로 무선네트워크에 접속해 자체 개발한 점검 어프리케이션을 통해 IoT 디바이스 취약점 조사와 분석을 실시했다. 

점검 결과는 심각했다. 167개 무선 AP에 연결된 1천254개 기기를 조사한 결과, 취약한 디바이스가 115대 발견됐다. 이중 9대가 CCTV였고 11대가 POS 단말기였다. 나머지는 스마트폰을 포함한 다양한 디바이스들로 조사됐다.

정현철 대표는 “유명 백화점 AP의 경우 대부분 텔넷포트가 오픈돼 있었다. 미라이봇넷 타깃이 될 수 있는 취약한 상황이었다. 특히 명령제어(C&C) 서버와 연결된 정황을 보이는 등 실제 악성코드에 감염되었거나 감염될 확률이 높은 디바이스는 15개로 조사됐다”며 “스마트폰이 외부의 악성코드를 실행하는 매개체가 되고 있어 각별한 주의가 필요하다”고 밝혔다.

노르마는 점검시 와이파이와 블루투스 네트워크 구조를 확인하고 중간자 공격 가능성을 확인한다. 기업 내부의 무선 네트워크 안전성을 검토해 외부에서 공격자에 의한 MAC 변조, 키 크래킹, DDoS 공격, MITM 공격, 가짜 AP 공격, 악성코드 공격 등이 가능한지 점검한다.

또 최근 노르마는 국내 대표적인 5개 시중은행 특정 지점에서 운영하는 AP를 점검한바 있다. 점검결과, 표준 암호화가 안된 곳도 있었고 암호가 오픈된 곳도 발견됐다. 또 관리자 아이디와 패스워드가 없거나 디폴트 상태 그대로 부실하게 관리된 곳도 존재했다. 이런 상황이면 미라이 악성코드 감염과 같이 보안위협에 노출될 수 있는 가능성이 높다는 것을 알 수 있다. 은행 지점 5곳을 점검한 결과가 이렇다면 전국 지점을 은행별로 점검한다면 더욱 많은 위험성이 존재할 가능성이 크다. 대책마련이 시급하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★