이통사 겨냥 DDoS 공격, 공유기 허점 노렸다?

일반입력 :2014/12/04 16:02    수정: 2015/02/24 17:06

손경호 기자

지난 주말 SK브로드밴드와 LG유플러스 망을 노린 분산서비스거부(DDoS) 공격이 발생하면서 공격 경로가 관전포인트로 부상했다. 한국인터넷진흥원(KISA) 침해사고대응센터는 현재 이번 DDoS 공격에 대해 여러 경로로 조사를 진행중이다.

그러나 보안업계 분석에 따르면 해당 공격은 가정 내 설치된 무선 인터넷 공유기가 가장 유력한 악성코드 감염경로로 거론되고 있다. 공유기에서 DDoS 공격을 유발하는 악성파일이 발견됐기 때문이다.

미래창조과학부에 따르면 11월 29일 발생한 DDoS 공격으로 SK브로드밴드는 이날 10시55분~12시5분까지 72분간 인터넷망이 마비되는 사고를 겪었다. 동작, 서초동에 위치한 도메인네임시스템(DNS) 서버를 대상으로 DNS 리퀘스트 쿼리 플러딩(DNS Request Query Flooding)이 발생한 것이 원인이 됐다.

기본적인 DDoS 대응책을 갖추고 있는 국내 인터넷서비스사업자(ISP) 망을 일시 마비시키는 급의 공격이 발생한 것은 이례적이다. 최근 분석에 따르면 공격자는 가정 내 무선 인터넷 공유기를 악용해 최초 감염을 시도했을 것으로 추정된다.

이전까지는 인터넷 공유기 비밀번호가 허술하거나 관리자용 비밀번호를 따로 설정하지 않았을 때 공격자가 이를 악용해 DNS 주소를 변조하는 수법으로 피싱, 파밍 웹사이트 접속을 유도했다. 예를 들어 공격자가 위조한 공용 무선 인터넷에 접속해 'zdnet.co.kr'이라는 주소를 치더라도 이와 유사한 가짜 사이트로 연결되도록 바꿔치기하는 식이다.

그러나 지난 주말 발견된 공격은 무선 인터넷 공유기를 구동하는 OS에서 발견된 취약점을 악용해 DDoS 공격을 유발하는 악성코드를 심었다는 점에서 고도의 공격이 이뤄진 것으로 판단된다. 공격자 입장에서는 좀처럼 발견되지 않는 임베디드리눅스 OS취약점을 악용하고 있기 때문이다.

국내 보안전문가는 공격자가 인터넷 공유기의 내부 OS 영역까지 접근해서 악성코드를 집어넣었다는 점에서 OS뿐만 아니라 하드웨어에 대한 지식도 있었던 것으로 보인다고 설명했다.

관련기사

요즘 관심을 받고 있는 사물인터넷(IoT) 기기는 인터넷 공유기와 유사하게 서로 네트워크를 통해 연결되는 기능을 가진 것들이 많다. 이들 기기도 대부분 임베디드리눅스 OS를 탑재했다. 그런만큼, 이번에 무선 인터넷 공유기를 노린 것과 유사한 공격이 IoT 기기를 덮칠 수도 있다.

한 보안전문가는 인터넷 공유기 자체를 감염시킨 악성코드가 없었던 것은 아니지만 국내에서 발견돼 대규모 피해를 유발한 것은 이번이 처음이라며 앞으로도 인터넷 공유기는 물론 리눅스 서버 등이 위험에 노출될 수 있어 주의가 필요하다고 지적했다.