12년 전 발견된 오픈SSH 취약점이 사물인터넷(IoT) 시대 위험 요소로 다시 떠올랐다. 보안패치 적용이 어려운 IoT 기기 특성을 악용해 대규모 디도스(DDoS) 공격 자원으로 활용할 가능성이 높다.
아카마이코리아(대표 손부한)는 쇼다운 프록시(SSHowDowN Proxy)라는 이름으로 알려진 오픈SSH 취약점으로 IoT 기기를 장악해 원격으로 공격 트래픽을 유발하는 기법이 잇따라 발생했다고 25일 밝혔다.
아카마이 위협 연구팀에 따르면 IoT 기기를 공격자원으로 활용하는 기법은 인터넷 연결 기기 기본 설정이 대부분 취약하기 때문에 발생한다. △CCTV를 비롯한 비디오 감시 장비 △위성 안테나 △라우터, 핫스팟, 케이블, ADSL 모뎀 등 네트워킹 장비 △인터넷 연결된 네트워크스토리지(NAS) 장비 등이 쇼다운 프록시 공격에 노출됐다.
공격에 노출된 기기는 HTTP, SMTP 네트워크 스캐닝 등 다양한 인터넷 접속 서비스와 인터넷 기기, 인터넷 연결 기기를 호스팅하는 내부 네트워크를 겨냥한 공격 등에 사용된다. 공격자가 웹 관리 콘솔 접속에 성공하면 기기 데이터를 조작하고 시스템 전체를 장악한다.
오리 시걸 아카마이 위협연구팀 수석 디렉터는 “디도스와 웹 공격이 패치가 어려운 IoT 등장과 함께 새로운 국면으로 접어들었다”며 “IoT 기기가 공장에서 출고되는 순간부터 취약점에 노출돼 있고 해결할 뚜렷한 방법도 없다”고 말했다.
오픈SSH 취약점을 이용한 공격에 대응하려면 우선 기기에 SSH 암호와 키 등을 제조사가 제공한 기본값에서 다른값으로 변경해야 한다. 기기에 파일 시스템으로 직접 접근하는 기능이 있으면 트래픽 전달을 차단하는 옵션을 설정해야 한다. 일반적인 작업에 SSH 접근이 필요없는 기기는 관리 콘솔을 사용해 SSH를 전면 비활성화한다.
기기가 방화벽 내 존재할 때에는 외부 네트워크에서 IoT 기기 22번 포트로 유입되는 인바운드 연결을 비활성화한다. 작동에 필요한 최소한 포트와 IP 주소를 제외하고 IoT 기기 모든 아웃바운드 연결도 비활성화할 필요가 있다.
박정은기자 jepark@etnews.com
