온라인 해킹 포럼에 공개된 50만 개 사물인터넷 크리덴셜

 

온라인 해킹 포럼에 공개된 50만 개 사물인터넷 크리덴셜

 

- 기사 본문 : https://www.boannews.com/media/view.asp?idx=85934

온라인 해킹 포럼에 공개된 50만 개 사물인터넷 크리덴셜

 

- 기사 요약

한 해커가 515000개가 넘는 서버, 가정용 라우터, 기타 사물인터넷 장비들에서 사용되는 크리덴셜의 목록을 인기 높은 온라인 해킹 포럼에서 공개했다. 그러면서 이를 “역사상 최대의 텔넷 비밀번호 유출 사건”이라고 자랑하는 중이라고 한다.

 

해커가 공개한 목록에는 장비의 IP 주소와 텔넷 프로토콜의 사용자 이름과 비밀번호가 포함되어 있었다. 이를 조사한 전문가들에 의하면 이 해커는 인터넷 전체를 스캔해 텔넷 포트를 열어두고 있는 장비들을 찾아냈으며, 그 이후 1) 공장에서 설정한 디폴트 사용자 이름과 비밀번호 조합이나 2) 추측하기 쉬운 사용자 이름과 비밀번호 조합을 가지고 접근을 시도한 것으로 보인다고 한다.

 

이 목록은 ‘봇 리스트(bot list)’라는 이름으로 유통되고 있으며, 사물인터넷 봇넷 운영자들은 이미 이 목록을 활용해 장비들에 멀웨어를 심고 봇넷을 확장시키는 중이라고 한다. 한 가지 다행인 점은, 이 목록에 공개된 크리덴셜이 2019년 10~11월에 수집되었다는 것이다. 즉 2~3달 전의 정보가 업데이트 되지 않은 상태로 유통된다는 건데, 따라서 사물인터넷 장비 소유자들이 해당 기간 동안 비밀번호를 새롭게 설정했거나, 다른 IP 주소로 옮겼다면 아직 봇넷 공격에 감염되지 않았을 가능성이 있다.

 

이번 사건은 텔넷이 취약한 프로토콜이라는 것을 다시 한 번 상기시킬 뿐만 아니라 사물인터넷 장비들의 고질적인 문제로 꼽히는 ‘디폴트 비밀번호’ 혹은 ‘쉬운 비밀번호’가 아직도 만연하다는 것을 알리고 있다. 이는 사물인터넷 제조사들이 해결해야만 하는 문제로, 기능성과 가격, 시장 진입 시기만을 염두에 두고 사업을 하는 문화가 가장 큰 걸림돌로 꼽힌다.

 

봇 리스트’가 공개됨으로써 위험에 처한 건 사물인터넷 장비를 집에서 사용하는 일반 소비자들만이 아니다. 보안 업체 사이코그니토(CyCognito)의 부회장인 라파엘 레이흐(Raphael Reich)는 “사물인터넷 장비가 생각보다 많이 기업 환경에 들어와 있는 상태”라며 “기업 입장에서는 새로운 방어 전략을 구축해야 한다”고 촉구한다.

 

 

- 개인 의견

본 기사에서 약 50만 개의 크리덴셜 정보가 유출되는데 사용되는 공격 기법은 텔넷 서비스 스캔, 무차별 대입 공격(Brute Force Attack) 등 간단한 공격 기법이 사용되었다. 이렇게 유출된 크리덴셜 정보는 크리덴셜 스터핑 공격으로 진행되어 더 큰 피해가 발생할 가능성이 존재한다.

 

따라서기본적으로 장비 제조업체에서도 장비 출고 시, 불필요한 서비스를 비활성화 시키고, 최초에는 장비의 기본(Default) 패스워드를 필수로 변경하도록 설계·생산해야 한다.

또한 현재 가정이나 기업에서 사물인터넷(IoT) 기기를 많이 사용하고 있는데, 기기를 사용하는 사용자도 기본적인 보안의식은 가지고 있어야 된다고 생각한다.

 

 

- 관련 기사

· IoT 기기 1,700대의 로그인 크리덴셜이 유출됐다

---