Mirai 봇넷이란?

Mirai 맬웨어는 IoT 장치의 보안 취약점을 악용하며 수백만 개의 IoT 장치의 집단적 힘을 봇넷에 활용하고 공격을 시작할 가능성이 있습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • Mirai 봇넷에 대해 알아보기
  • 봇넷이 어떻게 변형되는지 알아보기
  • 봇넷이 위험한 이유 알아보기
  • IoT 장치와 봇넷의 관계 알아보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

Mirai란?

Mirai는 ARC 프로세서에서 실행되는 스마트 장치를 감염시켜 원격으로 제어되는 또는 "좀비"의 네트워크로 바꾸는 맬웨어입니다.봇넷이라고 하는 이 봇 네트워크는 DDoS 공격을 시작하는 데 자주 사용됩니다.

봇넷 - 네트워크로 연결된 악의적 봇

악의적 소프트웨어의 약자인 맬웨어는 컴퓨터 웜, 바이러스, 트로이 목마, 루트킷, 스파이웨어를 포함하는 포괄적인 용어입니다.

2016년 9월, Mirai 맬웨어 제작자는 잘 알려진 보안 전문가의 웹 사이트에서 DDoS 공격을 시작했습니다. 일주일 후 그들은 소스 코드를 세상에 공개했는데, 아마도 그 공격의 기원을 숨기기 위해서였을 것입니다. 이 코드를 다른 사이버 범죄자들이 빠르게 복제했으며 이 코드는 2016년 10월 도메인 등록 서비스 공급자인 Dyn을 다운시킨 대규모 공격의 배후로 여겨집니다.

Mirai는 어떻게 작동할까요?

Mirai는 ARC 프로세서에서 실행되는 IoT 장치를 인터넷에서 검색합니다. 이 프로세서는 Linux 운영 체제의 축소 버전을 실행합니다. 기본 사용자 이름과 비밀번호 콤보가 변경되지 않으면 Mirai가 장치에 로그인하여 감염시킬 수 있습니다.

사물 인터넷의 약자인 IoT는 인터넷에 연결할 수 있는 스마트 장치에 대한 멋진 용어일 뿐입니다. 이러한 장치에는 베이비 모니터, 차량, 네트워크 라우터, 농업 장치, 의료 장치, 환경 모니터링 장치, 가전 제품, DVR, CC 카메라, 헤드셋, 연기 감지기가 포함됩니다.

Mirai 봇넷은 수십만 개의 하이재킹된 IoT 장치를 사용하여 Dyn을 다운시켰습니다.

Mirai 봇넷의 제작자는 누구였을까요?

21세였던 Paras Jha와 20세였던 Josiah White는 DDoS 공격에 대한 완화 서비스를 제공하는 회사인 Protraf Solutions를 공동으로 설립했습니다.그들의 사업은 갈취의 전형적인 사례였습니다. 그들은 그들의 맬웨어가 공격한 바로 그 조직에 DDoS 완화 서비스를 제공하는 사업을 운영했습니다.

Mirai 맬웨어가 여전히 위험한 이유는?

Mirai는 변형되고 있습니다.

원래 제작자가 잡혔지만, 소스 코드는 계속 남아 있습니다. Mirai는 Okiru, Satori, Masuta, PureMasuta 등의 변종을 낳았습니다. 예를 들어 PureMasuta는 D-Link 장치에서 HNAP 버그를 무기화할 수 있습니다. 반면에 OMG 변종은 IoT 장치를 사이버 범죄자가 익명으로 남을 수 있는 프록시로 변환시킵니다.

최근에 발견된 강력한 봇넷도 있는데, IoTrooper 및 Reaper라는 다양한 별명을 가지고 있으며, 이는 Mirai보다 훨씬 빠른 속도로 IoT 장치를 손상시킬 수 있습니다. Reaper는 더 많은 장치 제조업체를 대상으로 할 수 있으며 봇을 훨씬 더 잘 제어할 수 있습니다.

다양한 봇넷 모델은 무엇일까요?

중앙 집중식 봇넷

봇넷을 연극으로 생각한다면 C&C(Command and Control Server, C2라고도 함) 서버가 연출자입니다. 이 연극의 배우는 맬웨어 감염으로 인해 손상되어 봇넷의 일부가 된 다양한 봇입니다.

맬웨어로 장치가 감염되면 봇은 C&C에 해당 장치가 현재 존재한다는 것을 알리기 위해 시간 제한 신호를 보냅니다. 이 연결 세션은 C&C에서 봇에게 스팸 발송, 암호 크래킹, DDoS 공격 등의 작업을 수행하도록 명령할 준비가 될 때까지 열려 있습니다.

중앙 집중식 봇넷에서 C&C는 봇에 직접 명령을 전달할 수 있습니다. 그러나 C&C는 또한 단일 장애점입니다. 제거되면 봇넷은 효과가 없어지니까요.

계층화된 C&C

봇넷 제어는 여러 C&C와 함께 여러 계층으로 구성될 수 있습니다. 전용 서버 그룹은 예를 들어 봇을 하위 그룹으로 구성하거나 지정된 콘텐츠를 전달하는 등의 특정 목적을 위해 지정될 수 있습니다. 이로 인해 봇넷을 제거하기가 더 어려워집니다.

분산형 봇넷

피어 투 피어(P2P) 봇넷은 차세대 봇넷입니다. 중앙 집중식 서버와 통신하는 대신 P2P 봇은 명령 서버이자 명령을 수신하는 클라이언트 역할을 합니다. 따라서 중앙 집중식 봇넷에 내재된 단일 장애점 문제가 방지될 수 있습니다. P2P 봇넷은 C&C 없이 작동하므로 차단하기가 더 어렵습니다. Trojan.Peacomm과 Stormnet은 P2P 봇넷 뒤에 있는 맬웨어의 예입니다.

맬웨어는 IoT 장치를 어떻게 봇이나 좀비로 만들까요?

일반적으로 이메일 피싱은 컴퓨터를 감염시키는 확연히 효과적인 방법이며, 피해자가 악의적 웹 사이트로 연결되는 링크를 클릭하거나 감염된 첨부 파일을 다운로드하도록 속입니다. 많은 경우 악성 코드는 일반적인 바이러스 백신 소프트웨어에서 감지할 수 없는 방식으로 작성됩니다.

Mirai의 경우 사용자는 새로 설치된 장치의 기본 사용자 이름과 비밀번호를 변경하지 않고 그대로 두는 것 외에는 많은 작업을 수행할 필요가 없습니다.

Mirai와 클릭 사기의 관계는?

클릭당 비용(CPC)이라고도 하는 클릭당 지불(PPC)은 회사가 광고를 호스팅하기 위해 웹 사이트에 비용을 지불하는 온라인 광고의 한 형태입니다. 지불 금액은 해당 사이트 방문자 중 얼마나 많은 방문자가 해당 광고를 클릭했는지에 따라 다릅니다.

CPC 데이터가 부정하게 조작되는 경우 이를 클릭 사기라고 합니다. 이는 사람들이 수동으로 또는 자동화된 소프트웨어를 사용해서 또는 봇을 사용해서 광고를 클릭하도록 해서 수행할 수 있습니다. 이 프로세스를 통해 해당 광고를 게재하는 회사에 피해를 입히면서 웹 사이트에 대한 사기 이익이 발생할 수 있습니다.

Mirai의 원래 작성자는 DDoS 공격 및 클릭 사기를 하도록 봇넷을 임대해준 혐의로 유죄 판결을 받았습니다.

봇넷이 위험한 이유는?

봇넷은 사람들이 IoT 장치나 인터넷을 사용하는 것과 상관없이 사람들의 삶의 거의 모든 측면에 영향을 미칠 가능성이 있습니다. 봇넷은 다음을 수행할 수 있습니다.

  • ISP를 공격하여 때때로 합법적인 트래픽에 대한 서비스 거부를 발생시킴
  • 스팸 이메일 보내기
  • DDoS 공격을 시작하고 웹 사이트 및 API를 중단시킴
  • 클릭 사기 수행
  • 로그인 중 웹 사이트의 약한 캡차 문제를 풀어 인간의 행동을 모방함
  • 신용 카드 정보를 도용함
  • DDoS 공격을 위협하여 기업으로부터 몸값을 확보함

봇넷 확산을 억제하기 그처럼 어려운 이유는?

봇넷의 확산을 차단하는 것이 그처럼 어려운 데는 여러 가지 이유가 있습니다.

IoT 장치 소유자

비용이나 서비스 중단이 없으므로 스마트 장치를 보호할 인센티브가 없습니다.

감염된 시스템은 재부팅해서 치료할 수 있지만, 잠재적인 봇에 대한 검색은 일정한 속도로 수행되므로 재부팅 후 몇 분 이내에 다시 감염될 수 있습니다. 이는 사용자가 재부팅 후 즉시 기본 비밀번호를 변경해야 함을 의미합니다. 또는 펌웨어를 재설정하고 오프라인으로 비밀번호를 변경할 수 있을 때까지 장치에서 인터넷에 액세스하지 못하도록 해야 합니다. 대부분의 장치 소유자는 그렇게 할 노하우도 동기도 없습니다.

ISP

감염된 장치로부터 네트워크에 늘어난 트래픽은 일반적으로 미디어 스트리밍으로 생성되는 트래픽과는 비교되지 않으므로 신경 쓸 인센티브가 많지 않습니다.

장치 제조업체

장치 제조업체에서 저비용 장치의 보안에 투자할 인센티브는 거의 없습니다. 공격에 대한 책임을 제조업체에 묻는 것이 변경을 강제하는 한 가지 방법일 수 있지만, 이는 시행 조치가 느슨한 지역에서는 효과가 없을 수 있습니다.

장치 보안을 무시하는 것에는 큰 위험이 따릅니다. 예를 들어 Mirai는 안티바이러스 소프트웨어를 비활성화할 수 있어 감지가 어렵습니다.

크기

매년 15억 개 이상의 ARC 프로세서 기반 장치가 시장에 넘쳐나면서, 강력한 봇넷으로 바뀔 수 있는 장치의 수가 많다는 것은 이러한 맬웨어 변종이 미칠 수 있는 영향이 커졌음을 의미합니다.

단순함

즉시 사용 가능한 봇넷 키트는 기술에 정통한 사람이 아니라도 사용할 수 있습니다. $14.99~$19.99만 주면 봇넷을 한 달 동안 임대할 수 있습니다. 자세한 내용은 DDoS 부스터/스트레서란?을 참조하세요.

글로벌 IoT 보안 표준

IoT 보안 표준을 정의하고 시행하기 위한 글로벌 엔터티 또는 합의는 없습니다.

일부 장치에서는 보안 패치를 사용할 수 있지만, 사용자에게 업데이트할 기술이나 인센티브가 없을 수 있습니다. 많은 저가형 장치 제조업체에서는 어떤 종류의 유지 관리도 전혀 제공하지 않습니다. 유지 관리를 제공하더라도 장기적이지 않은 경우가 많습니다. 또한 업데이트가 더 이상 유지 관리되지 않아도 장치를 사용 중단할 방법이 없으므로 계속 안전이 보장되지 않습니다.

글로벌 법 집행

봇넷 생성자를 추적하고 기소하는 것이 어렵기 때문에 봇넷 확산을 억제하기가 어렵습니다. 사이버 범죄에 대한 수사 기법을 갖춘 글로벌 인터폴(국제 형사 경찰 기구)은 없습니다. 전 세계의 법 집행 기관에서는 일반적으로 최신 기술과 관련하여 사이버 범죄자를 따라갈 수 없습니다.

많은 봇넷은 이제 맬웨어를 다운로드하거나 피싱 사이트를 호스팅하는 데 사용하는 도메인을 숨기기 위해 패스트 플럭스라는 DNS 기술을 사용합니다. 따라서 봇넷을 추적하고 제거하기가 아주 어렵습니다.

봇넷에 감염되면 IoT 장치의 성능이 저하될까요?

저하될 수도 있습니다. 때때로 감염된 장치가 느리게 작동할 수 있지만, 대부분 의도한 대로 작동합니다. 장치 소유자는 감염을 제거할 방법을 찾아야 할 동기가 별로 없습니다.

부록

캘리포니아주 제리 브라운 주지사에게 회부된 법안은 IoT 장치가 "장치의 특성과 기능에 적합한" 합리적인 보안 기능을 갖도록 요구합니다. 이 법안은 2020년 1월부터 시행됩니다.

이 법안이 왜 그렇게 중요할까요? 캘리포니아 시장은 수익성이 좋기 때문에 기업에서 무시할 수 없습니다. 캘리포니아에서 판매하려면 장치의 보안을 개선해야 합니다. 이는 모든 주에 도움이 될 것입니다.