임베디드리눅스기반 사물인터넷 (IoT) 보안위협동향 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : Ahn

Size: px

Start display at page:

Download "임베디드리눅스기반 사물인터넷 (IoT) 보안위협동향 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : Ahn"

지윤 풍
5 years ago
Views:

2 목차 소개... 3 임베디드리눅스그리고 IoT... 4 임베디드리눅스기반기기... 4 보안문제... 4 보안을고려하지않은설계... 5 백도어기능... 5 의도적정보유출... 5 위협... 6 사생활침해및정보유출... 6 설정변경 / 데이터조작... 7 악성코드감염... 7 주요임베디드리눅스악성코드... 8 하이드라 (Hydra)... 9 싸이봇 (Psybot)... 9 유텔텐드 (Uteltend, 척노리스봇 ) 에이드라 (Aidra, Lightaidra) 달로즈 (Darlloz, Zollard) 가프지트 (Gafgyt) 피엔스캔 (Pnscan) 와이패츠 (Wifatch) 미라이 (Mirai) 예방 결론 참고자료 AhnLab, Inc. All rights reserved. 2

3 소개 2016년 9월유명보안전문가브라이언크렙스의블로그크렙스온시큐리티 (KrebsOnSecurity) 와프랑스인터넷호스팅업체 OVH에대해기록적인디도스공격이있었다. 2016년 10월 21일금요일오전미국인터넷호스팅서비스업체딘 (Dyn) 에대한디도스공격으로에어비앤비 (Airbnb), 페이팔 (PayPal), 넷플릭스 (Netflix), 사운드클라우드 (SoundCloud), 트위터 (Twitter), 뉴욕타임스 (The New York Times) 등여러사이트의접속장애가발생했다. 이들공격에는사물인터넷을감염시키는미라이 (Mirai) 라는악성코드가이용되었음이밝혀진다. 사물인터넷을이용한공격이이미영화나드라마에서도나왔다. 2009년방영된 CSI 뉴욕시즌 6(CSI: New York Season 6) 의에피소드 2 블랙리스트 (Featuring Grave Digger) 에서병으로외출할수없는범인이집에서자동차, POS(Point of Sales), 시스템, 엘리베이터를해킹해평소앙심을품고있던사람들을살해하는내용이나온다. 2015년방영된 CSI 사이버 (CSI: Cyber) 에서는베이비모니터 (Baby Monitor) 를해킹해부모가없을때아이를납치하는내용도나온다. 드라마특성상다소과장이있을수있지만이제현실에서도인터넷에연결된다양한기기가범죄에악용되기시작했다. 인터넷에연결된기기가증가하면서이미공격자들은이들기기를대상으로한해킹및악성코드제작이 시도되고있다. 현재사물인터넷은다양한플랫폼이경쟁을하고있는데이중인기있는임베디드리눅스 악성코드에대해알아보자. AhnLab, Inc. All rights reserved. 3

4 임베디드리눅스그리고 IoT 최근다양한제품이인터넷에연결가능하게출시되면서사물인터넷 (IoT, Internet of Things) 이란용어가유 행하기시작했다. 사물인터넷으로분류될수있는기기는다양한데이중임베디드리눅스를이용한다양 한사물인터넷제품이존재한다. 임베디드리눅스기반기기 현재여러운영체제가사물인터넷주도권을놓고경쟁하고있으며이중임베디드리눅스 (Embedded Linux) 가많이사용되고있다. 특히우리가흔히접할수있는인터넷공유기 ( 홈라우터, Wi-Fe Router, Wireless Router 등으로도불림 ), 셋톱박스 (Set top box), NAS(Network Attached Storage), 디지털비디오레코더 (DVR, Digital Video Recorder), IP 카메라 (IP Camera) 등에서임베디드리눅스가이용되고있다. 인터넷공유기와나스 (NAS) 는주변에서흔히볼수있는임베디드리눅스로구동되는시스템중하나이다. 인터넷공유기는가정, 소형사무실, 매장에서널리이용되고있다. 공공장소에설치된인터넷공유기를통해다른사람이무선통신내용을몰래훔쳐보는스니핑문제가알려졌지만인터넷공유기에도악성코드문제가존재한다. 특히인터넷공유기와 NAS는인터넷공유나자료공유를위해보통 24시간동안켜져있어공격자가노리는대표적시스템이다. 게다가이들시스템은데스크톱과비교했을때는저성능이지만다른사물인터넷제품과비교했을때컴퓨터에가까워공격자들의우선대상목표가되고있다. 또디지털비디오레코더와 IP 카메라도주요공격대상이다. 보안문제 임베디드리눅스기반의사물인터넷기기들의상당수는보안을고려하지않고설계했거나제작자편의의백도 어기능을포함한경우가있다. AhnLab, Inc. All rights reserved. 4

보안을고려하지않은설계 많은제조사들이보안을고려하지않고사물인터넷제품을만들고있다. 일부인터넷공유기와 IP 카메라는텔넷 (telnet) 포트를열어두어외부에서쉽게접속할수있다. 또한접속을위해서는아이디와암호가필요한데많은사용자가고정된공장초기암호를그대로사용하고있어공격자의접속이가능하다.

5 보안을고려하지않은설계 많은제조사들이보안을고려하지않고사물인터넷제품을만들고있다. 일부인터넷공유기와 IP 카메라는텔넷 (telnet) 포트를열어두어외부에서쉽게접속할수있다. 또한접속을위해서는아이디와암호가필요한데많은사용자가고정된공장초기암호를그대로사용하고있어공격자의접속이가능하다. 이런기기에는보통비지박스 (BusyBox) 라는리눅스명령을실행해주는프로그램이내장되어있는데, 이중 wget 명령을지원하면손쉽게다른악성코드를다운로드해실행할수도있다. [ 그림 1] telnet 으로접속해 wget 명령실행 백도어기능 여러기기에서종종외부에서접속할수있는백도어가발견되고있다. 개발자가디버깅목적등으로만들 어두는경우도있지만제작사에서의도적으로만들어둔경우도있다. 외부에서접근가능한문제는심각 하지만일반인이기기에내장된백도어기능을찾기는어렵다. 의도적정보유출 일부제조사에서의도적으로정보를유출하거나악의적인행위를하는제품을만들수있다. 따라서신뢰 할수없는회사에서만든제품은가급적사용하지않는것이좋다. AhnLab, Inc. All rights reserved. 5

6 위협 다양한기기가인터넷에연결되면서여러위협에노출되고있다. 특히사용자편리를위해많은인터넷연 결기기가외부에서접속이가능한데공격자는이점을이용하기도한다. 사생활침해및정보유출 카메라내장제품을악용해사생활을몰래훔쳐보는사생활침해가발생하고있다. 미국에서는 IP 카메라 ( 아기모니터등으로도불림 ) 를해킹해집안을훔쳐보거나심지어말을건네는일도 발생했다. [ 그림 2] 공격자의목표가된 IP 카메라 또, 매장에서 IP 카메라를사용할경우에는몰래접속해매장에사람이있는지확인하는용도로이용되기도 한다. 이경우 IP 카메라로직원이잠시자리를비웠을때물건을훔칠수도있다. AhnLab, Inc. All rights reserved. 6

[ 그림 3] IP 카메라로본계산대 설정변경 / 데이터조작 기기가해킹되면내부설정을변경해원하지않는내용출력하거나보관중인데이터를조작할수있다. 원치 않는광고가노출되거나피싱사이트나악성코드설치사이트로유도될수있다. 특히의료기기가공격을받아 수치가조작될경우사람목숨이위험해질수있다.

7 [ 그림 3] IP 카메라로본계산대 설정변경 / 데이터조작 기기가해킹되면내부설정을변경해원하지않는내용출력하거나보관중인데이터를조작할수있다. 원치 않는광고가노출되거나피싱사이트나악성코드설치사이트로유도될수있다. 특히의료기기가공격을받아 수치가조작될경우사람목숨이위험해질수있다. 악성코드감염 임베디드리눅스기반사물인터넷기기는텔넷이나웹서버기능지원을위해다양한포트를열어두고있다. 공격자는로그인정보를추측하거나취약점을이용해기기에접속하는악성코드를만들수있다. 현재까지발견 된악성코드는대부분디도스공격, 광고노출, 피싱사이트유도, 가상화폐채굴등의목적으로가지고있다. AhnLab, Inc. All rights reserved. 7

8 주요임베디드리눅스악성코드 지금까지발견된대표적인임베디드리눅스악성코드는 [ 그림 4] 와같다. [ 그림 4] 주요임베디드리눅스악성코드타임라인 임베디드리눅스악성코드는 2008년에처음보고되었다. 초기임베디드리눅스악성코드는밉스 (MIPS) 프로세스를사용하는인터넷공유기만감염시킬수있었다. 하지만 2012년발견된에이드라웜은밉스외다양한프로세스를지원해인터넷공유기뿐만아니라셋톱박스등다양한임베디드리눅스환경에서활동했다. 많은임베디드리눅스악성코드는디도스공격기능이주목적이지만 2013년발견된달로즈 (Darlloz) 는비트코인과같은가상화폐채굴이주목적이다. 2014년말리자드스쿼드 (Lizard Squad) 란그룹에서가프지트 (Gafgyt) 변형으로일으킨디도스공격으로게임관련웹사이트장애가발생하기도했다. 2016년미라이 (Mirai) 에의해 9월과 10월대규모디도스공격이발생한다. 공격에는기존인터넷공유기뿐만아니라 DVR(Digital Video Recorder), IP 카메라등의사물인터넷기기가이용되었다. 지금까지가장많이발견된리눅스악성코드는에이드라 (Aidra), 달로즈 (Darlloz), 가프지트 (Gafgyt), 피앤스캔 (Pnscan), 미라이 (Mirai) 등 5종류이다. 단, 특정기기만감염시키는악성코드나지속적으로변형이나오지않는악성코드를제외했다. 이들 5종류악성코드의발견현황을보면 2012년 36개, 2013년 26개, 2014년 348개, 2015 년 1,180 개, 2016년 9,125 개이다. 참고로 2016년통계는 10월 31일까지집계로연말까지 1만개이상의악성코드가보고될것으로예상된다. 이처럼임베디드리눅스기반악성코드는 2014년이후폭발적인증가세를보이고있다. Aidra Darlloz Gafgyt Mirai Pnscan Total , , ,125 Total , ,715 [ 표 1] 주요리눅스악성코드발견현황 AhnLab, Inc. All rights reserved. 8

이가운데가프지트 (Gafgyt) 와에이드라 (Aidra) 가가장많이발견되고있으며, 그다음으로피엔스캔 (Pnscan), 미라이 (Mirai) 가뒤를잇고있다. 특히당분간가프지트와미라이가계속증가할것으로예상된다. 그럼, 지금까지발견된리눅스악성코드에대해자세히살펴보자. 하이드라 (Hydra) 최초의알려진인터넷공유기악성코드는하이드라다.

9 이가운데가프지트 (Gafgyt) 와에이드라 (Aidra) 가가장많이발견되고있으며, 그다음으로피엔스캔 (Pnscan), 미라이 (Mirai) 가뒤를잇고있다. 특히당분간가프지트와미라이가계속증가할것으로예상된다. 그럼, 지금까지발견된리눅스악성코드에대해자세히살펴보자. 하이드라 (Hydra) 최초의알려진인터넷공유기악성코드는하이드라다. 하이드라는디도스공격악성코드로 2008 년에도언 더그라운드포럼에관련악성코드정보가올라와있는것으로보아 2008 년이전부터제작되었을가능성이 높다. [ 그럼 5] 2008 년에공개된하이드라정보 싸이봇 (Psybot) 싸이봇 (Psybot) 은 2009 년 1 월테니보메 (Teny Baume) 가발견했다. 인터넷공유기악성코드중처음으로일 반에널리퍼졌으며디도스공격기능을가지고있다. AhnLab, Inc. All rights reserved. 9

[ 그림 6] 싸이봇이감염시키는인터넷공유기종류 유텔텐드 (Uteltend, 척노리스봇 ) 2009년말체코마사리코바 (Masaryk) 대학에서발견했으며, 척노리스봇으로도알려져있다. 공격대상시스템을찾아텔렛브루트포스공격 (Telnet brute force attack) 으로감염시킨다.

10 [ 그림 6] 싸이봇이감염시키는인터넷공유기종류 유텔텐드 (Uteltend, 척노리스봇 ) 2009년말체코마사리코바 (Masaryk) 대학에서발견했으며, 척노리스봇으로도알려져있다. 공격대상시스템을찾아텔렛브루트포스공격 (Telnet brute force attack) 으로감염시킨다. 소스코드내이탈리아어로 [R]anger Killato : in nome di Chuck Norris! 가존재한다고한다. UPX로패킹되어있으며 Knb Keep nick bot 문자열이존재한다. 에이드라 (Aidra, Lightaidra) 에이드라는 2012 년 2 월최초발견되었으며 2011 년말제작되었을가능성이높다. 최초의사물인터넷악성 코드로볼수있다. AhnLab, Inc. All rights reserved. 10

2014년발견된변형에는경쟁악성코드인달로즈 (Darlloz) 제거기능이추가되었다.

11 [ 그림 7] 에이드라발견글 기존임베디드리눅스악성코드가밉스 (MIPS) 프로세스를사용하는인터넷공유기만공격대상이었다면이악성코드는밉스뿐만아니라암 (ARM), MIPSEL, 파워PC(PowerPC), 슈퍼H(SuperH) 등의다양한프로세스에서도동작하게제작되었다. IRC 봇악성코드로디도스공격기능을가지고있으며소스코드가공개되어다양한변형이존재한다. 2014년발견된변형에는경쟁악성코드인달로즈 (Darlloz) 제거기능이추가되었다. 달로즈 (Darlloz, Zollard) 달로즈는 2013 년 10 월발견된사물인터넷웜으로인텔 x86, MIPS, ARM, 파워 PC 등의시스템을감염시킬 수있다. 다른악성코드가주로디도스공격기능이있는데반해이악성코드는비트코인같은가상화폐 채굴기능을가지고있다. [ 그림 8] 가상화폐채굴프로그램설치 AhnLab, Inc. All rights reserved. 11

12 시만텍에따르면달로즈악성코드로인해전세계 31,000 대시스템감염이추정되는데 17% 가국내시스템 이었다고한다. 또한이악성코드는감염을위해 PHP 취약점인 CVE 을이용하고있다. 가프지트 (Gafgyt) 가프지트는 2014 년 8 월에존재가확인되었다. 특히 2014 년말리자드스쿼드 (Lizard Squad) 에서엑스박스 라이브 (Xbox Live) 와플레이스테이션네트워크 (PlayStation Network) 에디도스공격할때이용해유명해졌다 년 1 월소스코드가공개되어현재가장많은변형이존재한다. [ 그림 9] 공개된가프지트 (Gafgyt) 소스코드 피엔스캔 (Pnscan) 피엔스캔은 2015 년 8 월러시아보안업체닥터웹 (Dr. Web) 에서발견된악성코드이다. 암 (ARM), 밉스 (MIPS), 파워 PC(PowerPC) 시스템을감염시키며 HNAP (Home Network Administration Protocol) 와 CVE 등의취약점 을공격한다. AhnLab, Inc. All rights reserved. 12

[ 그림 10] 공개된와이패츠소스코드 미라이 (Mirai) 미라이 (Mirai) 는일본어미래의발음으로 2016 년 5 월처음으로발견되었다.

13 와이패츠 (Wifatch) 와이패츠는 2015 년발견되었으며예상하기쉬운암호를이용해전파된다. 감염후에는해당기기의보안 문제를해결해주며, 제작자는소스코드를공개했다. [ 그림 10] 공개된와이패츠소스코드 미라이 (Mirai) 미라이 (Mirai) 는일본어미래의발음으로 2016 년 5 월처음으로발견되었다 년 10 월초소스코드가공개된 후변형이증가하고있다 년 9 월보안블로그인크렙스온시큐리티를대상으로디도스공격과 2016 년 10 월 호스팅업체딘 (Dyn) 에대한디도스공격으로유명해졌다. [ 그림 11] 공개된미라이 (Mirai) 소스코드 AhnLab, Inc. All rights reserved. 13

[ 그림 12] 미라이 (Mirai) 패스워드문자열비교 2016 년 10

14 이악성코드는 UDP Flood, Syn Flood, ACK Flood, GRE IP Flood 등의다양한디도스공격기능을가지고있다. 주요 문자열은암호화되어있으며, 암호를풀고대입해보면패스워드리스트등을볼수있다. [ 그림 12] 미라이 (Mirai) 패스워드문자열비교 2016 년 10 월발견된변형은다른악성코드를제거하는기능이포함되기도한다. [ 그림 13] 미라이 (Mirai) 의경쟁악성코드제거기능 AhnLab, Inc. All rights reserved. 14

15 예방 현재까지임베디드리눅스기반사물인터넷제품에감염된악성코드를진단, 치료할수있는마땅한방법이없다. 백신프로그램이존재하지않고, 존재하더라도제조사도움이없으면프로그램설치도어렵다. 따라서악성코드감염을예방하기위한노력이필요하다. 우선인터넷공유기나 NAS의공장초기화암호는반드시변경해야한다. 새로운암호는숫자와특수문자를섞어서사용하고주기적으로변경하면가장좋다. 악성코드에서 Admin, adin1, guest, root, support 등의계정에대입해보는주요암호는 [ 표 2] 와같다 ujMko0vizxv 7ujMko0admin Admin Admin1234 anko Default dreambox fucker ikwb hi3518 jvbzd klv123 klv1234 meinsm Pass password realtek service system tech ubnt user vizxv xc3511 Zte521 Zlxx. [ 표 2] 취약한패스워드리스트 공격자는최근인터넷공유기등의취약점을찾아계속공격하고있어제조사에서도주기적으로펌웨어업 데이트를제공하고있다. 다른사물인터넷에대한취약점공격도진행될것으로예상되어인터넷에연결 된기기는최신펌웨어로업데이트해야한다. 많은경우외부에서접근할수있는기능을악용하고있다. 따라서꼭필요한경우가아니라면외부접근 기능을해제하고사용한다. AhnLab, Inc. All rights reserved. 15

16 결론 최근인터넷에연결된사물인터넷제품이증가하고있다. 이중인터넷공유기나 NAS는저가컴퓨터만큼의성능을갖추고있다. 공격자는이런새로운시장을지나치지않는다. 이미 2008년부터꾸준한공격을진행중이었지만잘알려지지않고있었다. 몇몇악성코드는소스코드가공개되어 2014년부터급증해 2016년에만 1만개이상의사물인터넷악성코드가등장할것으로예상된다. 이처럼인터넷에연결된기기가다양해지고시스템성능이올라갈수록악성코드문제도더욱증가할것이다. 초기임베디드리눅스악성코드는주로인터넷공유기같은가정내네트워크장비에국한되어있었다. 하지만악성코드제작자들은좀더다양한기기를감염시키기위한노력도진행해이제많은사물인터넷제품을감염시킬수있는악성코드를개발하고있다. 하지만, 아직까지사용자가임베디드리눅스악성코드를예방하기도쉽지않고악성코드에감염되어도마땅한치료방법이없다. 2014년이후임베디드리눅스악성코드에의해발생한디도스공격으로세계여러나라정부에서도문제의심각성을느끼기시작했다. 이러한기조에따라미래창조과학부는 2016년 9월 IoT 기기생명주기를기준으로 15가지보안요구사항과기술 관리적권고사항을상세히담은 IoT 공통보안가이드 를발표했다. 따라서제조사는이가이드를비롯한 KR-CERT의 공유기제품생산시적용할보안가이드, OWASP 의 IoT 시큐리티가이드 를바탕으로제품을설계해야한다. 또한보안업체와협력해보안기능을강화하거나보안제품을탑재할필요가있다. 언론을통한사물인터넷의위험성을홍보도필요하다. 소비자입장에서도사물인터넷제품을구매할때가격보다는보안에신경쓴제품을선택한다면, 사물인터넷보안의중요성에대한전반적인시장분위기도높아질것으로기대한다. 참고자료 [1] Marta Janus/Kaspersky, Heads of the Hydra, Malware for Network Devices, 2011 [2] Marta Janus/Kaspersky, State of play: network devices facing bulls-eye, 2014 [3] 손기종 / 공유기공격사례를통한사물인터넷기기보안위협, 2015 [4] 차민석 / 안랩, IoT 그리고임베디드리눅스악성코드, 2015 [5] 최우석 /F-NGS 연구소, MIRAI 봇넷동향 / 분석보고서, 2016 AhnLab, Inc. All rights reserved. 16

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고