대만의 LILIN 사에서 만든 CCTV와 DVR, 제로데이 취약점에 감염되어 있어

[이미지 = iclickart]

LILIN의 장비에서 공격이 시작된 건 8월 30일부터라고 한다. 보안 전문가들이 이러한 사실을 파악해 제조사 측에 알린 건 1월 19일이고, 패치가 발표된 건 2월 14일이다. 보안 업체 치후360(Qihoo360)이 취약점 세부 내용을 공개했고, 패치된 펌웨어는 11개 DVR 및 IP 카메라 장비에 적용 가능하다.

치후360에 의하면 취약점은 크게 세 개로 나뉠 수 있다고 한다.
1) 하드코드 된 로그인 크리덴셜
2) /z/zbin/dvr_box의 명령 주입 취약점
3) /z/zbin/net_html.cgi의 임의 파일 읽기 취약점

“이 중 장비 설정 파일인 /zconf/service.xml의 경우, 하드코드 된 로그인 정보를 통해 쉽게 취득할 수 있습니다. 또한 /zconf/service.xml 내 FTP와 NTP 매개변수의 서버 필드를 조작함으로써 백도어 명령어를 주입할 수도 있게 됩니다. 꽤나 위험한 상황이 벌어질 수 있게 되는 겁니다.” 치후360 측의 설명이다.

그 외에도 소프트웨어 FTP 설정 내에서도 주입 관련 취약점들이 발견되기도 했었다. 이 취약점을 통해 공격자들은 /dvr/cmd라는 인터페이스로 접근하는 것도 가능하다. “CMD는 명령 프롬프트라고 알려진 것으로, 사실상 명령을 내리려는 사람들에게 있어 백지수표와 같습니다. 마음먹은 거의 모든 것들을 할 수 있죠.”

이런 취약점들을 통해 장비를 감염시키고 있는 멀웨어들 중 가장 먼저 발견된 건 찰루보다. 찰루보는 사물인터넷 장비들 중 보안이 허술한 것들을 겨냥하는 것으로 알려져 있다. 에프봇의 경우는 사토리(Satori)라는 멀웨어를 기반으로 한 봇넷으로, 블록체인 DNS 시스템을 통해 전파되는 것으로 유명하다. 무봇은 미라이(Mirai)를 기반으로 한 봇넷으로 최근에 새롭게 등장했다.

치후360은 LILIN의 제품들 중 정확히 어떤 모델이 지금 공략 당하고 있다는 것을 밝히고 있지는 않다. 그저 DVR과 IP 카메라 제품들이 디도스 공격을 위해 봇넷에 편입되고 있는 상황이라고만 밝혔을 뿐이다.

진짜 문제는 업데이트를 장비 소유주들이 직접 배포해야 한다는 것이다. 치후360에 의하면 이번에 문제가 된 장비들은 제조사에서 업데이트를 강제 푸시할 수 없다고 한다. 따라서 장비를 구매한 일반 사용자들이, LILIN 장비의 취약점 소식을 접해 직접 픽스를 설치해야 하는데, 이는 사용자들 사이에서 좀처럼 이뤄지지 않는 일이다.

이런 어려움이 사물인터넷 장비의 태생적인 문제라고 보안 업계는 지속적으로 지적해왔다. 소유주의 자발적인 업데이트 참여에 기대하는 보안 시스템은 튼튼할 수 없다는 것이다. 업데이트 등 관리에 부지런한 일반인이 적기도 하거니와, 업데이트 자체가 기술적 지식을 요구하기 때문에 하고 싶어도 할 수 없는 상황이 많다.

​3줄 요약

1. 대만의 LILIN사에서 만든 하드웨어 장비들에서 제로데이 취약점 다수 발견됨.

2. 이 취약점을 통해 찰루보, 에프봇, 무봇과 같은 봇넷 멀웨어들이 전파되고 있음.

3. 픽스가 나오긴 했으나 사용자들이 알아서 적용할 것인지가 관건.​ 

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=87162&page=1&mkind=1&kind=​​]​