사물인터넷(IoT) 보안 위협 분석이 빨라진다.
한국인터넷진흥원(원장 백기승)은 ‘임베디드 리눅스 악성코드 분석 환경’ 마련에 나선다.
IoT 기기가 확산하면서 이를 노린 보안 위협이 급증했다. 하지만 분석하고 대응할 기술 기반이 취약하다.
KISA는 IoT 장비에서 작동하는 악성코드를 모니터링하고 분석하는 환경을 만든다. 임베디드 리눅스 악성코드를 이용한 침해사고 발생시 재빨리 분석하고 대응하는 능력을 확보한다.
IoT 기기는 대부분 임베디드 리눅스 계열 운영체계(OS)를 사용한다. 중앙처리장치(CPU)도 ARM이나 MIPS 등 기존 PC 환경과 다르다. 임베디드 리눅스 악성코드는 감염경로가 알려지지 않아 원인 파악도 어렵다. 임베디드 리눅스 기기는 윈도 시스템과 달리 대부분 보안 프로그램도 쓰지 않는다. 전용 보안 제품도 드물다.
이에 KISA는 임베디드 리눅스 환경에서 실행 중인 악성코드에 대한 메모리 덤프 방법론을 개발한다. 리눅스 악성코드와 연관된 시스템 콜 모니터링과 네트워크 패킷 모니터링 도구, 동적 분석 환경 등을 구성한다.
IoT와 리눅스 보안 위협은 현재 진행형이다. 지난해 말 가정에서 흔히 쓰는 무선공유기(AP)가 분산서비스거부(DDoS) 공격에 활용됐다. 국내에서 주로 사용하는 20여개 AP 해킹도구도 발견됐다. 중국에서 제작된 이 해킹도구는 IP를 스캔해 찾아낸 취약한 AP 도메인네임서버(DNS)를 바꾼다. AP에 접속한 PC나 스마트폰을 해커가 원하는 사이트로 이동시키는 공격이다.
최근에는 AP는 물론이고 네트워크 장비, 프린터, 웹 서버, 모바일 장비 등 정보를 수집하는 악성코드도 나타났다. 해당 악성코드는 사설 네트워크에 존재하는 여러 디바이스 네트워크 정보와 계정 정보를 수집한다. 향후 공유기 취약점을 이용한 원격 접속이나 디바이스 접근을 통한 다양한 공격에 쓰일 수 있다.
리눅스 악성코드는 취약점을 공격하는 익스플로잇(Exploit)과 DDoS 공격, 사용자 정보를 탈취하는 백도어(Backdoor), 가상화폐 채굴용 등이 나타났으며 동시에 여러 목적과 기능을 복합적으로 보이며 진화 중이다.
임진수 KISA 코드분석팀장은 “IoT 기기 상당수가 임베디드 리눅스를 OS로 사용한다”며 “기존에 윈도나 PC 환경으로 된 악성코드 분석 체계를 임베디드 리눅스로 확대해 보다 빠른 대응체계를 만들 것”이라고 말했다.
김인순기자 insoon@etnews.com