Breaking
사이버 보안(Cybersecurity)
멀웨어의 위험한 진화…IoT 봇넷 '토리'
2019-05-21 15:33:34
허서윤
▲토리는 IoT 봇넷이 높은 수준의 정교함을 갖춘 형태로 진화한 봇넷 변형이다(사진=ⓒ게티이미지뱅크)

[라이헨바흐=허서윤 기자] 사이버 범죄가 강화되는 보안에 맞춰 위험한 속도로 진화하고 있다. 특히 사물인터넷(IoT) 장치를 노린 봇넷 '토리'가 새로운 위협으로 부상하고 있다.

이 봇넷은 악명높은 미라이멀웨어보다 더 부드럽고 강하며, 진보적인 방식으로 폭넓은 장치의 아키텍처를 손상시킬 수 있다.

위험한 진화

보안매체 인포시큐리티에 따르면 보안 전문가인 베셀린 본트체브가 이 새로운 문제를 지난 9월 처음으로 발견했다. 또한, 인포시큐리티에 따르면 본트체브의 허니팟에 접근하기 위해 토르의 출구 노드를 사용했는데, 이후 사이버보안 기업인 어베스트는 이를 토리(Torii)라는 이름으로 명명했다. 

어베스트 연구원은 봇넷 변형을 IoT 멀웨어의 한 예로 설명했는데, 비교할 수 없는 높은 수준의 정교함을 갖춘 형태로 진화했다는 것이다.

다른 봇넷과 달리 토리는 일반적으로 봇넷이 할 것으로 기대되는 활동에는 관여하지 않는다. 모든 인터넷 연결 장치에 영향을 미치는 암호 해독 혹은 디도스 공격을 감행하는 대신, 중요한 정보를 추출, 암호화된 여러 계층의 통신 및 모듈식 아키텍처를 통해 다양한 명령과 실행파일을 가져와 실행시키는 것이다.

최신 컴퓨터나 태블릿, 스마트폰 역시 토리의 영향을 받을 수 있다. 이는 토리가 x86_64를 비롯한 x86, MIPS, ARM, 파워PC, 슈퍼H, 모토로라 68k 등 거의 모든 최신 장치에서 사용되는 다른 유형의 하드웨어 아키텍처를 대상으로 공격을 하기 때문이다.

어베스트의 보안 연구원인 마틴 론은 15~20가지의 아키텍처를 지원하고 있는 100여개 이상의 멀웨어 페이로드 유형이 하나의 서버에 감염됐다고 설명했다. 이는 한 사람이 혼자서는 할 수 없는 것으로, 토리가 집단으로 움직이고 있다는 의미가 된다.

복잡한 구조, 퇴치의 어려움

토리는 다른 IoT 멀웨어보다 더욱 복잡한 스크립트로 구조가 복잡한 편이다. 이에 중요한 데이터를 도용하기 위한 기능도 제대로 갖췄다고 볼 수 있다. 컴퓨터 시스템을 재부팅해도 이러한 문제는 해결되지 않는다. 

다른 라이벌 사이버범죄자들이 악성코드가 있는 장치로 감염시켜도 토리는 퇴치되지 않는다.  토리는 스텔스에 의존해 자신의 작업을 작동시킨다. 

텔넷을 타겟팅하고 장치의 취약한 자격증명을 악용해 공격을 시작하는 것으로, 이후엔 필요한 페이로드를 다운로드해 감염이 다른 일반 아키텍처로 확산되게 만든다. 

어베스트는 일단 토리가 장치를 감염시키면, 해당 장치에 대한 풍부한 데이터를 CnC로 보낸다고 설명했다. 그리고 CnC와의 접촉을 통해, 멀웨어 작성자는 토리가 잇는 시스템에 임의의 코드를 적용하거나 페이로드를 배포할 수 있다.

어베스트는 또한 토리가 향후 모듈형 플랫폼으로 변형될 수 있으며, 다른 잠재적인 타깃 대상도 페이로드로 스캔되지 않아 네트워크 계층에서 탐지하기가 어렵다고 지적했다. 

2단계의 페이로드의 경우, 토리는 파일이 감염된 장치에서 제거되지 않고 지속적으로 실행되도록 하기 위해 최소 6가지 방법을 사용한다고 명시했다. 방법은 다음과 같다.

1. ~.bashrc에 주입 된 코드를 통한 자동 실행

2. crontab의 "@reboot"절을 통한 자동 실행

3. systemd를 통한 "System Daemon"서비스로서의 자동 실행

4. /etc/init 및 PATH를 통한 자동 실행

5. SELinux 정책 관리의 수정을 통한 자동 실행

6. /etc/inittab을 통한 자동 실행

이 페이로드는 CnC 명령을 실행할 수 있는 완전히 개발된 봇으로, 데이터 추출과 다중레벨 통신 암호화 및 안티 디버깅 기술 등 추가 기능도 갖추고 있다.

악용 가능성

현재 토리가 어떤 용도로 사용되고 있는지는 명확치 않다. 론은 봇넷이 감시 도구로 사용될 가능성이 있거나 혹은 다른 어떤 목적을 위한 초기 단계로 작용할 수 있을 것으로 전망했다. 그는 트래픽의 생성자와 트래픽 자체가 은폐된다는 점에서 이 위협을 VPN에 비교하기도 했다.

이처럼 봇넷은 장비에 혼란을 야기하기 때문에, 강력한 사이버 보안으로부터 보호받지 못하는 이상 탐지하거나 차단하기가 매우 어렵다. 

다양한 이유들로 악용될 수도 있는데, 가령 토리에 감염된 장치를 통한 인터넷 트래픽은 사이버범죄자가 쉽게 모니터링도 가능하다. 

해당 장치가 와이파이 라우더인 경우라면 암호나 은행 데이터 등 중요한 정보 추출도 문제가 없다. 이에 만일 다수의 IoT 장치를 사용하는 경우라면, 게스트 네트워크를 사용하는 것이 더욱 좋을 것이라는 분석이다.

[라이헨바흐=허서윤 기자]