상단여백
HOME 뉴스·정책
공유기 취약점…거대 봇넷 부른다
  • 이원영 IT칼럼니스트
  • 승인 2016.11.30 11:30
  • 댓글 0




도이치텔레콤과 에어콤이 고객에게 제공한 와이파이 라우터가 취약점이 있다는 지적이 나왔다. 보안 기업인 카스퍼스키랩이 제공 중인 정보 보안 사이트 시큐어리스트가 감지한 것.

취약점이 있는 제품은 자이젤의 스피드포트(Speedport)라는 라우터다. 취약점을 지닌 라우터의 공통점은 외부 연결에 7547 포트를 열었다는 것이다. 이는 ISP가 원격지에서 라우터를 일괄 관리할 수 있도록 한 것이다. 이 때 사용하는 TR-069와 TR-064 같은 프로토콜을 기반으로 한 명령을 보내 공격자는 라우터에 대한 무단 접근이 가능하게 된다고 한다.

SANS 인터넷스톰센터(SANS Internet Storm Center)에 따르면 이런 취약점을 지닌 라우터는 5∼10분마다 공격을 받고 있다고 한다. 또 요하네스 울리히(Johannes Ullrich) 대표에 따르면 공격은 주말에 독일에서 일어난 정전 소동 이후부터 도이치텔레콤 고객을 대상으로 했다고 한다. 또 도이치텔레콤이 자사 페이스북을 통해 밝힌 바에 따르면 취약점을 지닌 라우터는 고객 90만 명이 이용하고 있다고 한다. 도이치텔레콤은 곧바로 라우터 재시작과 긴급 패치를 설치하라고 밝혔다.





11월 초에도 이번과 같은 가정용 라우터를 대상으로 7547 포트와 TR-064 프로토콜을 이용한 공격이 이뤄지고 있다는 보고가 나온 바 있다. 검색엔진인 쇼단(Shodan)에 따르면 7547 포트를 열어둔 인터넷 장치는 4,100만 대 이상 존재하고 있으며 이 가운데 500만 대는 TR-064 프토로콜을 이용하고 있다고 한다.

취약점을 안고 있는 라우터는 공격을 받으면 웹과의 접점이 되는 80 포트가 열리고 원격으로 장치를 조작할 수 있게 된다. 여기에 공격자는 라우터 암호를 돌파해야 하는데 암호는 기본값을 그대로 두고나 대부분 너무 쉽게 해뒀다고 한다. 또 공격자가 암호를 돌파하면 라우터를 봇넷에 포함시켜버린다. 봇넷 일부로 만드는 것. 공격자는 이렇게 만든 거대한 봇넷 네트워크를 이용해 대규모 디도스 공격을 감행한다. 자기도 모르는 새 자신의 라우터가 사이버 범죄에 일익을 담당하게 되는 꼴이다.

실제로 이 취약점을 지닌 라우터 일부는 초당 1테라비트라는 사상 초유의 디도스 공격을 만들어낸 기반인 된 악성코드 미라이(Mirai)의 통제 서버와 연결되어 있다는 사실이 밝혀지기도 했다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 IT칼럼니스트  b612@glasspad.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>

이원영 IT칼럼니스트의 다른기사 보기
인기기사
추천기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
재미있는 테크월드 세상
여백
여백
여백
여백
여백
여백
여백
Back to Top