팔로알토네트웍스의 사이버 보안 전문가 조직 유닛42(Unit 42)의 연구원들이 많은 사람들이 사용하고 있는 IoT(사물인터넷) 기기들의 취약점을 노리는 새로운 미라이 봇넷(Mirai botnet)을 발견했다고 보고했다.

미라이 봇넷은 IoT 기기들에 침투해 해커가 원격으로 기기를 조작할 수 있게 만드는 봇넷의 일종이다. 유닛42 연구진은 2023년 3월부터 D-Link, Zyxel, Netgear 기기의 여러 결함을 노린 미라이 봇넷의 변종이 확산되는 것을 확인했다.

유닛42 보고서는 “연구원들이 다운로드 받은 봇넷 클라이언트 샘플을 분석하면서 관찰한 동작과 패턴으로 볼 때, 그 샘플이 미라이 봇넷의 변형이라고 생각한다”고 밝히고 있다.

이번에 발견된 주요 취약점을 정리하면 다음과 같다.

봇넷은 D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear, MediaTek 기기들을 제어하거나 이 기기들을 사용해 분산서비스거부(DDoS) 공격을 수행하는 것을 목표로 한다. 대상 기기 목록에는 라우터, DVR, 액세스 제어 시스템 및 태양광 발전 모니터링 시스템이 포함된다.

연구원들은 3월과 6월, 두 번에 걸친 공격 행위를 확인했다. 2022년 10월 처음으로 공격을 발견한 이래 사이버 공격자들은 새로운 취약점에 대한 공격을 통합해 봇넷을 향상시켰다. 공격 방식은 위에서 언급한 취약점을 통해 시작되며, 이를 연계해 원격 서버로부터 쉘 스크립트 다운로더를 다운로드하려고 시도한다.

스크립트가 실행되면 특정 리눅스 아키텍처에 적합한 봇 클라이언트를 다운로드하여 실행할 수 있다. 봇 클라이언트가 실행되면 셸 스크립트 다운로더가 탐지되지 않도록 클라이언트 실행 파일을 삭제한다.

이번 유닛42 보고서는 "어디에서나 쉽게 IoT 기기를 사용할 수 있게 되면서 이러한 기기를 노리는 지속적인 보안 문제도 무시할 수 없게 됐다. 2016년에 발견된 미라이 봇넷은 IoT 보안 결함을 노리는 대표적인 위협으로, 현재에도 여전히 사용되는 이유는 IoT 기기들이 보안 결함을 안고 있기 때문이다. IoT 기기를 대상으로 하는 이러한 원격 코드 실행 취약점은 낮은 복잡성과 높은 영향력의 조합을 나타내므로 사이버 공격자에게는 쉬운 표적이 될 수 있다. 따라서 이러한 위협으로부터 IoT 기기를 보호하는 것이 시급한 과제가 된다”고 주의를 당부했다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

석주원 기자 다른기사 보기