보안 업체인 수쿠리 시큐리티(Sucuri Security)에 따르면 장기간에 걸쳐 디도스(DDoS) 공격을 하는 봇넷을 발견했다고 한다. 이 봇넷이 놀라운 점은 바로 네트워크로 연결된 2만 5,000대에 이르는 보안 카메라를 이용한다는 것.

수쿠리 측은 당초 작은 보석가게 웹사이트 보안 지원을 했다. 이곳 서버는 초당 3만 5,000회에 달하는 HTTP 요청이 전송되는 공격을 받았지만 DNS를 전환, 디도스 공격을 줄이는 데 성공했다.

그런데 디도스 공격을 줄이는 데 성공하고 몇 시간이 지난 뒤 사이버 범죄자들이 이번에는 서버에 초당 5만 번에 달하는 HTTP 요청을 전송하기 시작한다. 수쿠리 측은 이렇게 오랫동안 강력한 디도스 공격이 이뤄지는 일은 흔하지 않다고 밝혔다. 지금까지 본 적이 없을 만한 디도스 공격이 발생하자 수쿠리 측은 공격 방식을 파악하기 위한 조사에 나섰다. 그 결과 이 디도스 공격은 사물인터넷 기기 중 하나 격인 보안 카메라와 봇넷을 이용해 이뤄지고 있었다는 것이다.





물론 사물인터넷 기기를 이용한 디도스 공격이 이번이 처음은 아니다. 하지만 보안 카메라만 이용해 이렇게 오랜 기간에 걸쳐 이뤄진 디도스 공격 사례는 지금까지 발생한 적이 없다고 한다.

IP 주소를 분석하자 전 세계 곳곳에서 이뤄지고 있으며 몇 시간 공격에 감지한 IP 주소만 해도 2만 5,513개였다고 한다. 공격에 사용한 보안 카메라 IP 주소를 보면 24%는 대만, 미국 12%, 인도네시아 9%, 멕시코 8%, 말레이시아 6%, 이스라엘과 이탈리아 5%, 베트남과 프랑스, 스페인 2% 순이었다고 한다.

이들 상위 10개 국가는 디도스 공격에 사용된 보안 카메라 중 75%를 차지하고 있다. 나머지 25%는 95개국에 분산되어 있다. 다시 말해 보안 카메라를 이용한 디도스 공격은 105개 국가에서 일제히 이뤄졌다는 것이다.





디도스 공격에 사용된 보안 카메라는 크로스 웹 서버(Cross Web Server)에서 작동하며 DVR 콤포넌트(DVR Components)라는 기본 HTTP 페이지를 갖고 있었다고 한다. 이를 통해 수쿠리 측은 디도스 공격에 쓰인 사물인터넷 봇넷은 보안 카메라를 이용한 것으로 추정할 수 있었다고 한다. 또 디도스 공격에 쓰인 보안 카메라의 업체를 분석한 결과 가장 많은 건 기본값을 그대로 사용한 것이었다고 한다.

또 디도스 공격에 쓰인 IP 주소 중 5%는 IPv6 주소였다고 한다. 수쿠리 측은 대규모 디도스 공격에 대한 대처 방법으로 파이어월 사용을 권하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

윤신철 칼럼니스트  creact17@gmail.com

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>