가정에서 흔히 사용 중인 무선공유기(AP)가 분산서비스거부(DDoS, 디도스) 공격에 활용된 사례가 국내에서도 발생했다. 그동안 디도스 공격에는 악성코드에 감염된 좀비 개인용컴퓨터(PC)가 동원됐으나 이제는 가정에서 흔히 사용하는 무선공유기까지 좀비화할 수 있다는 사실이 확인돼 충격을 줬다. 세계적으로 사물인터넷(IoT)에 대한 관심도가 높아져 활용이 늘고 있는 가운데 무선공유기가 디도스 공격 도구로 악용되면서 IoT 보안 위협이 현실화했다는 분석이다.
4일 관계부처 및 기관에 따르면 지난달 29일 발생한 주요 통신사 디도스 공격에 복수의 가정용 무선공유기가 이용된 것으로 드러났다.
미래창조과학부 관계자는 “최근 통신사 디도스 공격에 가정용 무선공유기가 이용된 정황을 포착했다”며 “무선공유기가 악성코드에 감염돼 대규모 트래픽을 발생시켰다”고 밝혔다. 그는 “이번 사고가 통신사 일부 서버에 장애를 일으키는 수준에 그쳤지만 국내 인터넷 전체를 위협할 새로운 공격 형태였다는 점에 주목한다”며 “문제 발생 시 대처가 어려운 IoT 기기를 좀비로 만든 사례여서 분석에 집중하고 있다”고 덧붙였다.
SK브로드밴드는 지난달 29일 오전 10시 55분부터 낮 12시 5분까지 약 70분간 트래픽 과부하로 서비스 처리가 지연되는 피해를 봤다. LG유플러스도 소규모 공격을 받았지만 눈에 띌 만한 장애는 없었다.
사고 이후 조사팀을 꾸린 미래부와 한국인터넷진흥원(KISA)은 이번 공격에 사용된 인터넷주소(IP) 1030개를 확보했으며, 해당 사업자 도메인네임서비스(DNS) 서버 로그를 분석했다. 공격에 사용된 악성코드는 PC가 아닌 무선공유기에서 포착됐다. 주로 디도스 공격에는 악성코드에 감염된 좀비 PC가 이용돼 왔지만 이번 사고는 좀비 무선공유기 공격이라는 새로운 형태였다.
디도스 공격에 이용된 무선공유기는 공장에서 출하된 상태 그대로 가정 등에 설치된 제품인 것으로 확인됐다. 원격 네트워크 접속 포트가 열려 있고, ID와 비밀번호를 바꾸지 않은 채 사용 중인 제품이다. 1000여대에 달하는 감염 무선공유기는 특정 회사 제품이 아닌 여러 브랜드 제품으로 확인됨에 따라 조사팀은 좀비 무선공유기의 공통분모를 찾고 있다. 조사팀은 감염된 무선공유기를 추적해 일일이 가정 등을 방문하며 악성코드를 제거하고 있다.
한 보안 전문가는 “피싱이나 파밍을 목적으로 무선공유기를 해킹하는 시도는 있었지만 이처럼 통신사 서버를 디도스 방식으로 공격하는 등의 큰 피해를 준 사례는 본 적 없다”며 “사용자는 무선공유기가 악성코드에 노출돼도 이를 알 수 있는 방법이 없어 대응책 찾기가 쉽지 않다”고 설명했다.
조원영 시만텍코리아 대표는 “IoT 기기는 서로 다른 운용체계(OS)와 구동 프로그램을 사용하기 때문에 취약점이 발견돼도 일괄적으로 업데이트하기가 쉽지 않다”며 “IoT 확산 전에 체계적인 보안체계를 만들고 배포하는 방법이 현재로서는 가장 효율적인 방법”이라고 말했다.
이 같은 분석에 대해 SK브로드밴드 측은 “아직 조사작업이 마무리되지 않았기 때문에 무선공유기를 사고 원인으로 단정할 수는 없지만 가능성은 높다”고 분석하며 “정확한 사고 원인을 찾기 위해 다양한 가능성을 열어놓고 조사하고 있다”고 설명했다.
김인순기자 insoon@etnews.com
윤건일기자 benyun@etnews.com
