2020-02-29 10:50 (토)
서버·라우터·IoT 기기 50만대 이상 텔넷 정보 유출…인터넷상에 공개돼
상태바
서버·라우터·IoT 기기 50만대 이상 텔넷 정보 유출…인터넷상에 공개돼
  • 페소아 기자
  • 승인 2020.01.20 16:37
이 기사를 공유합니다

현재까지 알려진 텔넷 암호 유출 중 가장 커다란 규모

해외 모 해커가 51만5000 여 개의 서버, 홈라우터, IoT 스마트 기기의 텔넷 자격증명 정보를 공개해 충격을 주고 있다.

여기에는 각 기기의 IP 주소와 텔넷 서비스에 대한 사용자 이름, 암호가 포함되어 있었다.

이 목록은 텔넷 포트가 노출되어 있는 기기들을 전체 인터넷을 스캔해 찾아낸 후 찾아낸 기기에 공장-설정 기본 사용자 이름과 암호, 쉽게 추측되는 암호 조합을 시도해 만들어진 것이다.

'봇 목록(bot lists)'라고 부르는 이러한 형식의 목록은 IoT 봇넷 작업의 일반적인 구성요소이다. 해커는 인터넷을 검색하여 봇 목록을 만든 다음 이들을 이용하여 기기에 연결하여 멀웨어를 설치한다.

이 목록은 일반적으로는 비공개로 유지되지만 2017년 8월에 33,000개의 홈 라우터 텔넷 자격증명 목록이 공개된 것처럼 온라인에 유출되는 경우가 있다. 이번 유출은 현재까지 알려진 텔넷 암호 유출 중 가장 커다란 규모였다.

이번 목록은 DDoS-For-hire(DDos-booster) 서비스 관리자가 온라인에 게시했다. 왜 이렇게 거대한 '봇 목록'을 발표했는지 물었을 때, 그는 IoT 봇넷에서 DDoS 서비스를 클라우드 서비스 제공업체의 고출력 서버 임대에 의존하는 새로운 모델로 업그레이드했다고 말했다.

해커가 유출한 모든 목록은 2019년 10월에서 11월 사이의 것들로 이들 중 일부는 지금은 다른 아이피 주소에서 동작하고 다른 로그인 자격 증명을 사용하고 있을 수도 있다.

BinaryEdge 및 Shordan과 같은 IoT 검색 엔진을 사용해 전 세계 장치를 검색해본 결과 일부 장치는 알려진 인터넷 서비스 공급자의 네트워크(홈라우터 또는 IoT 장치임을 나타냄)에 있었고, 다른 장치들은 주요 클라우드 서비스 공급자의 네트워크에 있었다.

익명의 보안 전문가는 해당 목록에서 IP 주소나 암호가 변경되어 목록의 일부가 더 이상 유효하지 않다고 하더라도 숙련된 공격자에게는 이 목록이 매우 유용할 것이라고 설명했다.

잘못 구성된 장치는 인터넷 전체에 고르게 분산되지는 않지만 ISP 직원이 해당 장치를 해당 고객 기반에 배포할 때 장치를 잘못 구성했기 때문에 일반적으로 단일 ISP의 네트워크에 클러스트 된다. 공격자는 목록에 포함된 IP 주소를 확인하고 서비스 공급자를 확인한 다음 ISP의 네트워크를 다시 검색하여 최신 IP 주소로 목록을 업데이트할 수 있다.

 

[2020 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최 안내]

-주최: 데일리시큐

-후원: 정부 유관기관

-참관객: 공공•금융•기업CISO, CSO, CPO 및 정보보안 담당자 및 보안연구가 등 300명

-일시: 2020년 2월 5일 수요일

-장소: 한국과학기술회관 지하1층 대회의실

-참관비용: 11만원(VAT 포함)

-교육이수: 7시간 정보보호 교육 이수 가능(정부/공공/일반기업 보안실무자)

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★