Mozi봇넷은 미라이(Mirai)를 기반으로 한 사물인터넷(IoT) 봇넷 멀웨어로 최근 꾸준히 유포되고 있다. 한국인터넷진흥원에 따르면 Mozi봇넷 유포지는 2020년 하반기부터 지난해 상반기까지 1104% 급증했다. 분산서비스거부(디도스) 공격뿐 아니라 데이터 유출, 암호화폐 채굴 등 다양한 공격에 악용된다. 주로 비밀번호 관리 등 보안이 허술한 IoT 기기에 악성코드를 설치하고 인터넷 트래픽을 라우팅하는 서버를 공격한다.
2016년 10월 도메인 주소 조회(DNS) 서비스 제공업체 Dyn이 대규모 미라이 봇넷 공격을 받았고 이로 인해 트위터, 넷플릭스, 뉴욕타임즈 등 총 1200개가 넘는 사이트가 일제히 마비된 바 있다.
국가정보원이 국제 공조를 통해 확인한 Mozi봇넷 IoT 장비 감염 건수는 총 1만1700건(대)이다. 모두 동일 악성코드에 감염됐으며 이 가운데 일부는 이미 암호화폐 채굴용 악성코드 유포를 위한 경유지로 활용됐다.
국내 피해는 100여건으로 파악됐지만 이는 국가·공공기관만을 대상으로 파악된 수치다. 국정원이 사이버위협정보공유시스템(NCTI·KCTI)을 통해 민간기업의 보안조치를 지원하고 있지만 추가 피해도 배제할 수 없다.
IoT 기기 특성상 광범위한 공격을 받았을 가능성이 높다. 유무선 공유기·CCTV·영상녹화장비(DVR)·PC일체형 광고모니터 등 IoT 기기는 PC나 스마트폰과 달리 상시 모니터링이 쉽지 않고 보안 관련 업데이트도 장기간 이뤄지지 않는 경우가 많다. 피해 사례 파악도 쉽지 않다.
개인 사업장이나 주택 등에 IoT 기기가 광범위하게 보급됐고 이를 통신사 등 서비스 업체가 일괄 파악하는 데는 물리적으로 상당한 시간이 소요될 수밖에 없다.
Mozi봇넷 공격이 IoT 기기를 대상으로 세계 전역에서 동시다발적으로 이뤄진 배경도 여기에 있다.
단순 비밀번호 패턴을 그대로 유지하고 모니터링이 쉽지 않은 IoT 기기는 최상의 공격 효과를 낼 수 있는 대상이다. IoT 기기를 통해 악성코드를 감염시키고 단시간 내 빠른 확산을 노린 전략적 공격이라는 분석이다.
이희조 고려대 소프트웨어보안연구소(CSSA) 소장은 “IoT 특성상 감염 사실을 모르는 경우가 상당수 존재할 수 있다”며 “그 사이 악성코드는 지속 확장하기 때문에 단기간 내 감염 사례가 급격히 늘었을 가능성도 있다”고 설명했다.
이 소장은 “2차 공격 패턴도 다양하므로 어떤 방식으로 문제가 나타날지 단정 짓기도 쉽지 않다”고 덧붙였다.
이번 공격은 대규모 해킹 조직이나 여러 조직이 연합해 벌인 범죄일 가능성이 높다. 동일 악성 코드를 동시다발적으로 집중 유포한 상황에서 공격을 대신하거나 감염 사이트를 빌려주면서 최대한 공격 범위를 넓히고 있다는 분석이다.
국정원 관계자는 “최근 사이버 공격은 국경도 없고 민간과 공공의 구분이 무의미하며 그 수법도 날로 고도화, 지능화, 대량화하고 있다”며 “피해 예방과 선제적 대응을 위해 미국, 일본, EU, 중국, 러시아 등과 정보 및 관련 자료를 적극 공유, 협조하고 있다”고 말했다.
최호기자 snoop@etnews.com
-
최호 기자기사 더보기