시만텍, IoT 기기를 통한 디도스(DDos) 공격 증가 주의 당부

[IT동아 이상우 기자] 시만텍이 IoT 기기를 이용해 디도스 공격을 펼치는 범죄 조직을 발견하고, IoT 기기 보안에 관한 주의를 당부했다. 시만텍은 해당 조직이 IoT 기기의 허술한 보안을 악용해 악성 코드를 퍼뜨리고, 기기 소유자 몰래 기기를 좀비 네트워크(혹은 봇넷)으로 만드다고 밝혔다. 특히 해커는 보안 수준이 낮아 쉽게 감염시킬 수 있는 소비자 기기를 연결해 값싼 대역폭을 구축해 공격을 감행하고 있다.

악성코드 공격을 실행한 IP 주소의 소재지를 보면, 공격의 과반수 이상이 중국(34%)과 미국(28%)에서 발생했다. 이어서 러시아(9%), 독일(6%), 네덜란드(5%), 우크라이나(5%), 베트남(4%) 순이며, 한국(3%)도 10위에 올랐다. 공격자는 실제 소재지를 숨기기 위해 프록시 서버 IP 주소를 이용한 것으로 드러났다.

대부분의 IoT 악성코드는 웹 서버, 라우터, 모뎀, 나스(NAS), CCTV 시스템, 산업용제어시스템(ICS)과 같은 non-PC 임베디드 디바이스를 대상으로하고 있다. 이러한 기기 중 일부는 인터넷 접속은 가능하지만, 운영체제와 처리 능력의 한계로 인해 고급 보안 기능을 갖추지 못한 것으로 보인다.

IoT 기기의 보안이 미흡함을 잘 알고 있는 공격자는 자동으로 설정되는 비밀번호나 흔히 사용하는 비밀번호를 악용해 악성코드 프로그램을 만들어 IoT 기기를 손쉽게 가로챈다. 많은 IoT 기기가 허술한 보안으로 손쉽게 공격 표적이 되지만, 피해자는 기기의 감염 사실조차 인지하지 못하는 경우도 많다.

이번 조사의 주요 내용은 다음과 같다.

2015년에는 IoT 기기 기반 공격이 최고치를 기록했다. 지난 2015년 새롭게 발견한 IoT 관련 악성코드 패밀리는 8개로 큰 증가세를 보였다. 특히 공격자는 IoT 기기를 궁극적으로 노리는 것이 아니라, IoT 기기를 디도스와 같은 공격 도구로 활용하는 경향이 있다.

IoT기기는 항상 연결되어 있는 특성이 있고, 특히 사용자는 초기 설치 시 기본으로 설정되어 있는 설정값을 바꾸지 않고 지속적으로 사용하고 변경하지 않는 경향이 있다. IoT 기기를 공격하기 위해 주로 사용하는 기기 패스워드는 root와 admin으로, 제품 출시 당시 설정된 기본값을 거의 변경하지 않는 것으로 나타났다.

향후 인터넷에 연결되어 있는 임베디드 기기가 증가함에 따라, 다수의 IoT 플랫폼으로부터 동시 다발적으로 일어나는 공격이 더욱 자주 발생할 것으로 예상된다.

시만텍은 IoT 기기 공격에 대응하기 위해 다음과 같은 보안 수칙을 전했다.

1. IoT 기기를 구매하기 전, 성능과 보안 기능을 확인한다.
2. 본인 네트워크에 연결된 IoT 기기의 목록을 검사한다.
3. 자동 설정된 정보는 변경한다. 기기의 계정 및 와이파이 네트워크의 비밀번호는 보안 수준이 높은 복잡한 조합을 사용한다. '123456', 'password'와 같이 일반적이고 쉽게 추측할 수 있는 것은 사용하지 않는다.
4. 와이파이 네트워크 접근(WPA) 설정 시에는 강력한 암호화 방법을 사용한다.
5. 많은 기기가 다양한 서비스가 자동 활성화된 상태로 제공된다. 따라서 불필요한 기능 및 서비스는 비활성화시킨다.
6. 텔넷 로그인을 비활성화하고, 가능하면 시큐어 셸(SSH)을 사용한다.
7. 보안 정책 및 요구 수준에 따라 IoT 기기에 자동으로 설정되는 프라이버시 및 보안 설정을 변경한다.
8. 불필요한 IoT 기기에 대한 원격 접근 기능을 비활성화한다.
9. 가능한 경우 무선 접속보다는 유선 접속을 사용한다.
10. 기기 제조사가 제공하는 펌웨어 업데이트를 정기적으로 확인한다.
11. 하드웨어의 이상으로 인해 기기가 비보호 상태에 빠지지 않도록 주의한다.

글 / IT동아 이상우(lswoo@itdonga.com)