The AP, often used in homes, was used for the distributed denial of service (DDoS) attack in Korea as well. Over the years, zombie PCs, infected with malicious codes, have been used for DDoS attacks, but now it has been confirmed that APs, frequently used in homes, can be turned into zombies, sending a shockwave throughout the country. While Internet of Things (IoT) are used more often as interest in it has increased around the world, and APs are misused as a tool for DDoS attacks, the general consensus is that the IoT security threat has become a reality.
According to related ministries and agencies on December 4, it turned out that a number of home APs were used for the DDoS attacks on major mobile carries on November 29.
“We realized that home APs were used for the recent DDoS attacks on mobile carriers,” said an official from the Ministry of Science, ICT & Future Planning. “The APs, infected with malicious codes, caused a large traffic.” “This incident only caused problems in some servers of the mobile carriers, but it is noteworthy that it was a new attack threatening the entire Internet in Korea,” he added. “As it was the first case that IoT devices were made into zombies, which makes it difficult to handle when a problem occurs, we are working hard to analyze it.”
SK Broadband had its service delayed for about 70 minutes from 10:55am till 12:05pm on November 29 due to traffic overload. LG Uplus was exposed to a small-scale attack, but there was not any noticeable problem.
The Ministry of Science, ICT & Future Planning and the Korea Internet Security Agency (KISA), which organized an investigation team immediately after the incident, secured 1030 IPs that were used for this attack, and analyzed the DNS server logs of the attacked carriers. The malicious code, used for the attack, was found in APs, not PCs. In most DDoS attacks, zombie PCs, infected with malicious codes, have been used, but this incident was a new type, i.e. a zombie AP attack.
The APs used for the DDoS attack were found to have been installed in homes in their factory settings. The remote network connection port is open, and the ID and password are unchanged. As it was confirmed that over 1000 infected APs were products of multiple brands, not products manufactured by a certain company, the investigation team is looking for a common denominator of the zombie APs. The investigation team is tracking all infected APs, visiting individual homes and removing malicious codes.
“Attempts have been made to hack APs for the purpose of phishing or pharming, but it is the first time ever that DDoS attacks were made on the servers of mobile carriers, causing huge damages,” said a security expert. “As users have no way of knowing even if their APs are exposed to malicious codes, it’s not easy to find solutions.”
“As IoT devices use different operating systems and driver programs, it’s not easy to update them all at once even if vulnerabilities are found,” said Cho Won-yeong, CEO of Symantec Korea. “Currently the most efficient method is to make and distribute a solid security system before the diffusion of IoT.”
“As the investigation is not completed yet, we cannot conclude that APs are the cause of the incident, but it is highly likely that they are the culprits,” said SK Broadband about this analysis. “We are looking everywhere to find the cause of the incident.”
Kim In-soon | insoon@etnews.com Yun Geon-il | benyun@etnews.com
디도스 공격 도구로 이제는 무선공유기까지... `IoT 보안 위협 현실로`
가정에서 흔히 사용 중인 무선공유기(AP)가 분산서비스거부(DDoS, 디도스) 공격에 활용된 사례가 국내에서도 발생했다. 그동안 디도스 공격에는 악성코드에 감염된 좀비 개인용컴퓨터(PC)가 동원됐으나 이제는 가정에서 흔히 사용하는 무선공유기까지 좀비화할 수 있다는 사실이 확인돼 충격을 줬다. 세계적으로 사물인터넷(IoT)에 대한 관심도가 높아져 활용이 늘고 있는 가운데 무선공유기가 디도스 공격 도구로 악용되면서 IoT 보안 위협이 현실화했다는 분석이다.
4일 관계부처 및 기관에 따르면 지난달 29일 발생한 주요 통신사 디도스 공격에 복수의 가정용 무선공유기가 이용된 것으로 드러났다.
미래창조과학부 관계자는 “최근 통신사 디도스 공격에 가정용 무선공유기가 이용된 정황을 포착했다”며 “무선공유기가 악성코드에 감염돼 대규모 트래픽을 발생시켰다”고 밝혔다. 그는 “이번 사고가 통신사 일부 서버에 장애를 일으키는 수준에 그쳤지만 국내 인터넷 전체를 위협할 새로운 공격 형태였다는 점에 주목한다”며 “문제 발생 시 대처가 어려운 IoT 기기를 좀비로 만든 사례여서 분석에 집중하고 있다”고 덧붙였다.
SK브로드밴드는 지난달 29일 오전 10시 55분부터 낮 12시 5분까지 약 70분간 트래픽 과부하로 서비스 처리가 지연되는 피해를 봤다. LG유플러스도 소규모 공격을 받았지만 눈에 띌 만한 장애는 없었다.
사고 이후 조사팀을 꾸린 미래부와 한국인터넷진흥원(KISA)은 이번 공격에 사용된 인터넷주소(IP) 1030개를 확보했으며, 해당 사업자 도메인네임서비스(DNS) 서버 로그를 분석했다. 공격에 사용된 악성코드는 PC가 아닌 무선공유기에서 포착됐다. 주로 디도스 공격에는 악성코드에 감염된 좀비 PC가 이용돼 왔지만 이번 사고는 좀비 무선공유기 공격이라는 새로운 형태였다.
디도스 공격에 이용된 무선공유기는 공장에서 출하된 상태 그대로 가정 등에 설치된 제품인 것으로 확인됐다. 원격 네트워크 접속 포트가 열려 있고, ID와 비밀번호를 바꾸지 않은 채 사용 중인 제품이다. 1000여대에 달하는 감염 무선공유기는 특정 회사 제품이 아닌 여러 브랜드 제품으로 확인됨에 따라 조사팀은 좀비 무선공유기의 공통분모를 찾고 있다. 조사팀은 감염된 무선공유기를 추적해 일일이 가정 등을 방문하며 악성코드를 제거하고 있다.
한 보안 전문가는 “피싱이나 파밍을 목적으로 무선공유기를 해킹하는 시도는 있었지만 이처럼 통신사 서버를 디도스 방식으로 공격하는 등의 큰 피해를 준 사례는 본 적 없다”며 “사용자는 무선공유기가 악성코드에 노출돼도 이를 알 수 있는 방법이 없어 대응책 찾기가 쉽지 않다”고 설명했다.
조원영 시만텍코리아 대표는 “IoT 기기는 서로 다른 운용체계(OS)와 구동 프로그램을 사용하기 때문에 취약점이 발견돼도 일괄적으로 업데이트하기가 쉽지 않다”며 “IoT 확산 전에 체계적인 보안체계를 만들고 배포하는 방법이 현재로서는 가장 효율적인 방법”이라고 말했다.
이 같은 분석에 대해 SK브로드밴드 측은 “아직 조사작업이 마무리되지 않았기 때문에 무선공유기를 사고 원인으로 단정할 수는 없지만 가능성은 높다”고 분석하며 “정확한 사고 원인을 찾기 위해 다양한 가능성을 열어놓고 조사하고 있다”고 설명했다.
김인순기자 | insoon@etnews.com 윤건일기자 | benyun@etnews.com