4년 전인 2016년 10월 21일, DNS 서비스 제공업체 다인(Dyn)이 대규모 DDoS(Distributed Denial of Service, 분산서비스거부) 공격을 받아 트위터, 넷플릭스, 뉴욕타임즈, 페이팔 등 17만5000개 이상 사이트가 수 시간 동안 일제히 마비되거나 서비스가 지연되는 사건이 발생했다. 이로 인해 수천만 명 사용자들에게 영향을 끼쳤다.
DDoS 공격 원인은 보안에 취약한 수백만 대의 가정용 IoT기기가 미라이(Mirai) 악성코드에 감염돼 공격받은 것으로 확인됐다. 당시 국내에서도 미라이 악성코드로 인해 ISP 국제 관문 망에서 해외 특정 서버로 과다 트래픽이 발생했다.
대부분 IoT 기기는 공장 출하 시 ID/PW가 취약한 상태로 설정된 채 인터넷에 연결되어 있다. 그 때문에 이를 대상으로 악성코드 감염 시도가 증가하고 있다. 더군다나 미라이 악성코드는 소스코드가 공개돼 누구나 쉽게 소스코드 변경을 통한 변종 악성코드 제작이 가능하다.
따라서 대규모 DDoS 공격뿐만 아니라 소스코드를 활용한 신종 악성코드의 개발 등 IoT 기기를 이용한 인터넷 대란이 발생할 수 있는 상황이다.
미라이-다인 공격 4년이 지난 현재 인터넷은 얼마나 바뀌었을까?
카네기멜론대학 사이랩(CyLab) 연구팀이 지난주 열린 '2020 IMC(Internet Measurement Conference)'에서 “2016년 미라이-다인 공격으로 직접적인 영향을 받은 몇몇 웹사이트만 개선한 것으로 보인다“고 새로운 연구 결과를 발표했다.
연구 결과(논문명: Analyzing Third Party Service Dependencies in Modern Web Services: Have We Learned from the Mirai-Dyn Incident?)는 미국 컴퓨터협회 학회지 10월호에 실렸다.
연구팀은 먼저 2016년 미라이-다인 공격을 ‘종속성’ 때문에 성공했다고 결론지었다. 미라이-다인 공격 영향을 받은 도메인은 제3자 DNS인 다인에 심각하게 종속돼 있었다. 즉 공격이 오로지 다인에게만 종속됐기 때문에 다인이 다운되면 공격 역시 다운되었다는 것이다.
2016년 공격 이후 웹사이트 변화를 평가하기 위해 웹 트래픽 분석 회사인 알렉사 인터넷이 선정한 가장 인기 있는 웹사이트 중 10만 개를 대상으로 분석했다.
2016년과 2020년 이들 웹사이트의 종속성을 조사한 결과, 대부분 2016년 다인 공격으로 웹사이트에서 개선할 것이라고 생각하겠지만, 결과는 전체적으로 DNS 제공자에 대한 주요 종속성 개선이 2016년에 비해 2020년 5%밖에 되지 않았다.
하지만 인기 웹사이트들은 주요 종속성을 줄이도록 개선했다. 이는 덜 인기 있는 웹사이트들보다 서비스 가용성에 더 신경을 쓴다는 뜻이다.
또 연구팀은 온라인 사용자들에게 컨텐츠를 전달하는 것과 관련된 2가지 다른 서비스 종속성에 초점을 맞췄다.
이 2가지 서비스는 사용자가 웹 사이트를 탐색할 때 순식간에 수행된다. 사용자가 보는 컨텐츠(예: 스트리밍을 위한 비디오 컨텐츠)를 호스팅하고 제공하는 컨텐츠 전송 네트워크와 보안 연결을 확인하는 인증기관 인증서 유효성 검증이다.
결과는 비슷했다. 2016년에 비해 중요한 종속성 변화가 거의 없었다. 하지만, 인기 웹사이트들은 종속성을 많이 줄였다.
연구팀은 논문을 통해 “이 주요 종속성 문제는 웹사이트에만 있는 것이 아니다”며, “병원과 스마트홈 회사 등 다른 두 분야에 대한 사례 연구를 실시했다. 이들 분야 역시 제3자 종속성으로 인해 미라이-딘 같은 악성코드 공격에 취약하다는 것을 발견했다”고 밝혔다.
컨퍼런스 발표자로 나선 ‘아크사 카샤프(Aqsa Kashaf)는 “웹사이트에 대한 확실한 권고사항 중 하나는 제3자 서비스를 이용할 때 보다 탄력성과 중복성을 갖춰야 한다”며, “특히 서비스 제공업체들은 이러한 중복성을 지원하고 장려해야 한다“고 강조했다.
랜섬웨어 전용 보안솔루션 화이트디펜더 개발사 에브리존은 “DDos 공격을 방어하기 위해서는 IoT 기기 보안 취약점에 대한 패치가 가장 최우선적으로 이루어져야 한다”며, “올해 초 윈도우7 보안패치 중단으로 인해 많은 PC들이 위험에 노출이 되어 있다. 홈페이지 방문만으로 랜섬웨어에 감염이 될 수 있다”고 말했다.
그러면서 “그렇기 때문에 빠른 윈도우10으로 전환과 함께 주기적으로 중요한 자료 백업은 필수며, 랜섬웨어 전용 솔루션을 설치해 보호해야 한다”고 강조했다.
김들풀 기자 itnews@
