사물인터넷(IoT) 기기를 감염시켜 대규모 분산서비스거부(DDoS) 공격용 봇넷에 동원되게 만드는 악성코드로 악명높은 '미라이(Mirai)'의 라이벌이 등장했다.
지난주 초당 650기가비트(Gbps) 규모 DDoS 공격이 릿(Leet)이라는 봇넷을 통해 발생했는데, 이는 최대 620Gbps 규모였던 미라이 봇넷의 DDoS보다도 크다는 외신 보도가 나온 것.
외신들은 28일(현지시각) 웹방화볍업체 임퍼바(Imperva) 측 분석을 인용, 지난 21일 650Gbps 이상, 초당 1억5천만패킷(Mpps) 이상의 트래픽이 동원된 DDoS 공격이 발생했다고 전했다. 임퍼바는 릿 봇넷의 DDoS 공격이 단일한 대상을 겨냥한 게 아니었다고 진단했다. 회사가 수집한 정보에 남은 흔적을 보면 공격 패킷이 특정한 IP주소로에 집중되지 않았기 때문이다.
[☞참조링크: Bigger than Mirai: Leet Botnet delivers 650 Gbps DDoS attack with 'pulverized system files]
[☞참조링크: 650Gbps DDoS Attack from Leet Botnet Rivals Mirai Attacks]
보도에 따르면 해당 공격은 미라이와 무관한, 완전히 새로운 유형의 맬웨어가 사용됐다. 공격을 분석한 전문가는 트래픽을 만들어낸 SYN패킷의 TCP옵션 헤더 영역에서 'l33t'라는 문자열을 발견했다. 여기서 숫자 3은 해커들이 알파벳 e를 치환해 쓰는 문자다. 즉 해당 문자열은 '릿(leet)'이라 읽을 수 있다. 이게 문제의 봇넷을 가리키는 이름이 됐다.
그러나 임퍼바는 이 공격의 실질적인 배후를 지목하진 못했다. 다만 공격에 사용된 기법은 크고 작은 트래픽을 보내 네트워크 통로의 움직임을 굼뜨게 만들고 네트워크 스위치 장비를 다운시키는 방식이었다는 설명이다. 미라이 봇넷과는 차이점이 있었다. 미라이는 트래픽 생성을 위해 임의 문자열을 조합해 쏟아내는 반면 릿 봇넷 트래픽은 로컬 파일에 접근하며 손상된 콘텐츠가 뒤섞인 버전을 실어 보내는 식이다.
임퍼바 측은 이런 릿 봇넷의 동작을 "손상괸 기기 수천대에서 가져온 망가진 시스템 파일 수천개가 뒤범벅된" 공격이라고 묘사했다.
앞서 미라이는 올하반기 미국, 유럽, 서아프리카 일부 국가에서 대규모 DDoS 공격을 야기한 봇넷을 감염시킨 악성코드로 등장해 보안업계의 비상한 관심을 모았다. 미라이는 보안이 취약한 네트워크카메라와 인터넷공유기 등 IoT 기기를 감염시키고 이웃 네트워크의 다른 기기를 재감염시키는 방식으로 빠르게 전파되는 특징을 보였다. 다크웹에 공개된 미라이 소스코드를 활용한 변종 악성코드도 내년 보안업계의 주요 위협 요소로 떠올랐다.
[☞관련기사: '소스' 풀린 IoT 악성코드, 디도스 연쇄 유발]
[☞관련기사: 우분투, '안전한 IoT' 해법될까]
관련기사
- "랜섬웨어, 은행 ATM·마트 POS까지 노린다"2016.12.29
- "백신서버같은 중앙관리SW 노린 사이버위협 늘어날 것"2016.12.29
- "악성코드광고·좀비IoT기기…사이버공격 더 거세진다"2016.12.29
- 악성코드 미라이, 암호 바꿔도 안심 못한다?2016.12.29
[☞관련기사: 악성코드 미라이, 암호 바꿔도 안심 못한다?]
릿 봇넷은 미라이와 함께 내년 보안 분야의 골칫거리가 될 전망이다.