지난 10월 미국 인터넷 사이트들을 마비시켰던 사물인터넷(IoT) 디도스(DDoS) 사건이 발생하기 한 달 전인 9월 한국을 겨냥한 IoT 디도스 공격이 있었던 것으로 확인됐다. 한국을 겨냥한 IoT 디도스 공격은 규모가 작아 피해가 없었지만 한국이 안전지대가 아니라는 점을 경고하고 있다.

23일 한국인터넷진흥원(KISA)은 ‘2016년 미라이(Mirai) 악성코드 동향 보고서'를 공개하고 한국을 겨냥한 디도스 공격이 있었다고 밝혔다.

10월 21일 미국의 도메인네임서버(DNS) 서비스 업체 딘(Dyn)이 대규모 디도스 공격을 받아 트위터, 넷플릭스, 뉴욕타임즈 등 76개 사이트가 마비되거나 서비스가 중단되는 사건이 있었다. 조사 결과, 평소의 수 십 배에 달하는 방대한 트래픽이 집중되면서 서비스가 마비됐다. 그런데 더 놀라운 사실은 대규모 트래픽을 발생시킨 것이 CCTV 등 IoT 기기였다는 점이다.

전문가들의 분석 결과, 미라이 악성코드가 CCTV 등 IoT 기기를 감염시켰고 감염된 IoT 기기들이 디도스 공격 트래픽을 유도했다. 미라이는 수 만~수 십 만 대의 IoT 기기를 1테라(TB)급의 디도스 공격을 감행하는 것이 특징이다.

KISA는 미라이 분석 보고서에서 2016년 9월경 국내 인터넷 서비스 제공자(ISP) 국제 관문망에서 해외 특정 서버로의 트래픽이 과다 발생한 사례가 있었는데, 이를 분석한 결과 미라이에 감염된 IoT 기기에 의한 디도스 공격 트래픽으로 확인됐다고 밝혔다.

이에 대해 KISA 관계자는 “9월 국내 ISP가 해외 연결망에서 이상 트래픽을 감지해 모니터링 하던 중 해당 사안을 검증해 보자고 KISA에 요청해 이를 분석했다”며 “분석 결과, 미라이 악성코드에 감염된 IoT 기기들로부터 발생한 트래픽으로 확인했다. IoT 기기로 인한 트래픽 규모가 작아 피해는 없었지만 이후 ISP 등과 관련 트래픽에 대한 모니터링을 강화했다”고 설명했다.

KISA는 10월 초 공개된 미라이 악성코드와 9월 분석결과 비교 분석을 추가로 진행했는데, 9월 공격에 동원된 악성코드는 미라이와 완전히 동일한 것은 아니고 몇 가지 추가 명령과 코드가 발견됐다. KISA는 이것을 미라이 악성코드의 변종으로 해석했다. KISA는 미라이 악성코드 변종이 계속 출현할 것으로 예상돼 추후 지속적인 신규 발생 악성코드에 대한 분석이 진행돼야 한다고 지적혔다.

이번 사안은 규모가 작아 피해도 없었지만 한국이 IoT 기반 디도스 공격의 안전지대가 아니라는 점을 보여준다. 이에 따라 미국 등의 사례와 같은 IoT 기반 대규모 디도스 공격에 대비해야 한다는 지적이다.

[테크M = 강진규 기자(viper@techm.kr)]