동영상 서비스 스트리밍 도와주어 시장에서 점점 인기 많아지는 가전 제품
ADB 기능의 설정 오류 통해 퍼지는 아레스 ADB 봇넷 멀웨어...큰 위협 될 수도[보안뉴스 문가용 기자] 훌루(Hulu), 넷플릭스(Netflix) 등의 동영상 서비스를 스트리밍 하는 데 사용되는 안드로이드 기반 셋톱박스 수만 대가 멀웨어에 감염됐다. 그리고 거대한 봇넷에 편입되어가고 있다는 소식이다. 
[이미지 = iclickart]
사물인터넷 보안 전문 업체 웃클라우드(WootCloud)가 처음 발견한 이 현상은 현재도 확대되고 있으며, 문제의 봇넷에는 아레스 ADB(ARES ADB)라는 이름이 붙었다. 공격자들은 이 봇넷을 활용해 브루트포스, 디도스, 암호화폐 채굴 공격 등을 실시한다고 한다.
“봇넷 멀웨어는 안드로이드 디버그 브리지(Android Debug Bridge, ADB)를 겨냥해 감염 기기 수를 늘리고 있습니다. ADB란 안드로이드 장비 내에 있는 관리 요소 중 하나로, 원격 관리 및 디버깅을 가능하게 해줍니다.” 웃클라우드의 설명이다.
ADB 서비스는 대부분의 장비에서 인터넷에 무방비로 노출되어 있다고 한다. 인증 장치도 따로 설정되지 않은 경우가 대부분이다. 따라서 공격자들은 ADB를 통해 기기에 접근해 관리자 권한을 취할 수 있게 된다.
“TCP 포트 5555를 통해 장비에 접근하게 되면 원격 명령 실행을 가능케 해주는 셸을 취득할 수 있습니다. 접근에 성공한 자는 맞춤형 애플리케이션을 업로드하거나 다운로드할 수 있게 되고, 데이터에도 접근할 수 있습니다.”
아레스 봇넷은 “최근 사이버 공격자들이 컴퓨터가 아닌 사물인터넷 장비들을 공격해 봇넷을 구성하는 데에 많은 관심을 가지고 있다는 것의 증거”다. 2016년 처음 발견된 미라이(Mirai) 봇넷 멀웨어를 시작으로 공격자들은 가정용 라우터, 보안 카메라, DVR, 스마트TV 등 인터넷과 연결된 가전 장비들을 공격해왔다.
공격자들이 자주 노리는 사물인터넷 장비들의 특징은 보안 장치가 없다시피 하고, 인증 절차도 마련되어 있지 않다는 것이다. 게다가 편의성을 위해 원격 관리나 접근마저도 가능하게 되어 있는 경우가 많다. 또한 ‘24시간 가동’되는 것이 존재의의와 같아서 잠깐의 패치도 허용되지 않는 상황에서 운영되는 장비들도 대다수다. 공격자들에게 안성맞춤인 것이다.
아레스 봇넷의 경우, 공격자들은 ADB 환경설정 문제를 공략하기 시작했다. 하이실리콘(HiSilicon)과 큐브텍(Cubetek) 등 몇몇 제조사에서 만든 안드로이드 기반 셋톱박스들이 특히 취약한 것으로 알려져 있다. 아레스 ADB 봇넷 멀웨어의 설치가 완료되면, ADB 인터페이스가 있으며 비슷한 취약점을 보유한 다른 장비들을 찾아 나서기 시작한다.
현재까지 피해자들은 대부분 남아시아 지역의 사용자들이었다. 일부 아태지역에서도 피해자가 발견됐다. 감염된 장비들과 정보를 주고받는 C&C 서버들의 경우, 세계 곳곳에 마련되어 있었다.
웃클라우드의 창립자인 스리니바스 아켈라(Srinivas Akella)는 아레스 봇넷이 조만간 심각한 위협으로 커질 가능성이 농후하다고 보고 있다. 안드로이드 기반 셋톱박스의 인기가 점점 올라가고 있으며, 셋톱박스가 아니더라도 ADB 설정 오류가 있는 스마트 TV 등 다른 종류의 사물인터넷 장비들도 감염시킬 수 있기 때문이다.
“물론 표준 안드로이드 장비들은 ADB를 디폴트로 활성화하고 있지는 않습니다. 그러나 일부 장비 제조사들이 안드로이드 OS를 자신들의 상황에 맞게 조정하는 상황 속에서 이 부분을 건드립니다. 그러면서 ADB가 활성화된 채 시장으로 나오는 기계들이 많아지고 있죠. 그래서 문제인 겁니다.”
ADB 기능이 공격자들에게 남용되는 걸 막으려면, TCP 포트 5555를 통한 트래픽을 차단하도록 라우터를 설정하는 것이 좋다고 웃클라우드는 권장한다. “셋톱박스를 사업용으로 보유하고 있는 기업이라면 네트워크 정책을 설정해 사물인터넷 장비를 통과하는 트래픽을 모니터링하거나 엄격히 제한하도록 해야 합니다. 모든 사물인터넷 장비의 ADB 인터페이스를 점검하고, 트래픽의 출처 역시 꼼꼼하게 점검할 수 있도록 하십시오.”
가정에서 셋톱박스를 사용하고 있다면 위험을 완화시키는 게 조금은 더 어려울 수 있다. “제조사가 ADB 옵션을 사용자가 조정할 수 있도록 기계를 만들지 않았다면 할 수 있는 일이 거의 없습니다. 그런 경우 셋톱박스가 연결된 라우터를 만져야 하는데, 기술적 지식을 요구하는 일입니다. 누군가의 도움을 받아 라우터 설정을 바꾸든지, 셋톱박스를 새로 구매하든지 해야 안전해집니다.”
3줄 요약
1. 안드로이드 기반 셋톱박스들을 감염시키는 아레스 ADB 봇넷 멀웨어 등장.
2. 현재 남아시아와 아태 지역에서 감염자 수를 늘리는 중. ADB 설정 오류 노림.
3. 라우터 설정 통해 TCP 포트 5555로 트래픽이 오가지 못하도록 해야 안전해짐.
[국제부 문가용 기자(globoan@boannews.com)][출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=82650&page=1&mkind=1&kind=1]
