미라이 아닌 또 다른 사물인터넷 디도스 봇넷 발견

문가용 기자 globoan@boannews.com
입력: 2016-12-29 10:41

리트 봇넷, 사물인터넷의 시스템 파일 섞은 페이로드 활용
공격의 크기는 이미 미라이급...난독화까지 탑재되어 있어

[보안뉴스 문가용 기자] 디도스 공격이 우리를 참 많이도 괴롭혔던 해다. 그러니 한해가 마무리 되는 시점에 새로운 디도스 공격이 다시 한 번 터진다고 해도 그리 놀라울 건 없다. 아니, 어쩌면 그게 더 자연스러운지도 모르겠다. 최근 보안 업체인 임퍼바(Imperva)가 650 Gbps의 디도스 공격을 발견해 세상에 알렸다. 실제 공격이 일어난 것은 크리스마스 직전이라고 한다. 

650 Gbps의 디도스 공격이라면 규모가 상당한 수준이긴 하지만, 그렇다고 기록을 갱신할 정도는 아니다. 이번에 발견된 디도스 공격이 특이한 건 최근 디도스 공격자들 사이에서 크게 유행 중인 미라이(Mirai) 봇넷과 전혀 상관이 기 때문이다. 임퍼바에 따르면 이번 공격에 사용된 건 리트(Leet)라는 이름의 봇넷이라고 한다. 

순수 공격 용량으로만 보면 미라이 봇넷은 이미 650 Gbps를 아득히 넘어섰다. 이미 가을에 보안 블로그인 KrebsOnSecurity.com에 620 Gbps의 공격을 성공시켰고, 프랑스의 호스팅 업체인 OVH에 990 Gbps의 공격과 10월에 들어서는 DNS 제공업체인 딘(Dyn)에 1.2 Tbps의 공격을 감행한 바 있기 때문이다. 미라이가 이렇게 어마어마한 공격을 할 수 있는 건 취약하기 짝이 없는 사물인터넷 기기들을 다량으로 동원하기 때문이다. 대부분은 CCTV 카메라 및 DVR 기기들이었다.

임퍼바는 이번 리트 봇넷 공격에 동원된 사물인터넷 기기들의 IP 주소들이 스푸핑되었기 때문에 어떤 종류의 사물인터넷 기기들이 실제로 사용되었는지 추적하기가 불가능하다고 말한다. 그저 미라이와 다른 종류의 봇넷이 공격의 배후에 있다는 것 정도만 알아내는 게 거의 다였다고 덧붙이기도 했다. 

“2016년 발견되었던 디도스 공격 중 트래픽량이 굉장히 많은 것들은 모두 미라이와 관계가 있었습니다. 하지만 이번 공격에 동원된 페이로드를 분석했을 때 미라이나 미라이 변종과의 유사점은 하나도 찾을 수가 없었습니다.” 이번 발견 및 보고서 작성에 참여한 아비샤이 자우즈닉(Avishay Zawoznik)과 디마 베커만(Dima Bekerman)의 설명이다.(중략)
 

기사 상세보기