CCTV·공유기 1만대 털렸다..사물인터넷 무방비 노출

연초부터 해커 타깃된 IoT
DDoS 공격 위한 '모지봇넷'
전세계 72개국서 감염 피해
국내선 100여대 수준이지만
실제론 더 많이 퍼져있을듯
일부는 암호화폐 채굴에 활용
국정원 "비번 교체 등 조치를"

국내외에 존재하는 1만여 대 폐쇄회로(CC)TV와 영상녹화장비(DVR) 등 사물인터넷(IoT) 장비가 국내 공공기관에 대한 해킹 도구로 사용됐다는 점이 확인됐다. IoT로 연결된 집안 가전제품이 지난해 하반기 아파트 월패드 해킹 사건의 통로가 됐는데, 이번에는 CCTV와 영상녹화장비 등 다른 IoT 장비가 해커들의 주요 공략 대상이 된 셈이다. 특히 이번에 발견된 CCTV, 영상녹화장비를 통한 IoT 해킹은 악성코드가 자가 증식하는 경향을 띠고 있어서 더 위험하다는 지적이다. 기술이 점점 발전하면서 스마트 가전기기, 스마트워치, 의료기기, CCTV 등이 모두 IoT로 연결되고 있는데 이 같은 해킹 사례는 앞으로 더욱 많아질 전망이다.

19일 국가정보원에 따르면 국내외 IoT 장비 1만1700여 대(국내 100여 대·해외 1만1600여 대)가 악성코드 'Mozi봇넷'에 감염돼 국내 공공기관에 대한 해킹 혹은 접속을 시도했다. 감염된 일부 장비는 가상화폐 채굴용 악성코드 유포를 위한 경유지로 활용됐다. 이번에 Mozi봇넷에 감염된 IoT 장비는 유·무선 공유기, CCTV, 영상녹화장비, PC 일체형 광고 모니터 등이다. 국정원은 지난해 12월 러시아 침해사고대응팀에서 "한국 IP 주소를 경유한 해킹 시도가 있다"는 정보를 넘겨받아 현장 조사를 실시한 결과 이를 발견했다. 국정원 측은 "감염된 일부 장비는 가상화폐 채굴용 악성코드 유포를 위한 경유지로 활용되고 있다"고 설명했다.

악성코드 Mozi봇넷은 2019년 말에 본격적으로 활동을 시작했다. 보안업체 파이오링크가 지난해 9월 발간한 보안동향 보고서에 따르면 당시 기준 약 5만개 사이트에 Mozi봇넷이 유포됐다. 해당 악성코드는 주로 넷기어, D-Link, 화웨이 등 통신장비 라우터(네트워크 장치)의 취약한 지점을 통해 침투한다. 이영학 파이오링크 침해대응센터 과장은 "HTTP 하이재킹(정상 인증된 세션을 가로채는 행위), MITM(네트워크 통신을 중간에서 조작해 통신 내용을 도청하는 기법) 등으로 Mozi봇넷이 IoT 장비에 침투한다"며 "디지털 광고판 서버에 악성코드가 침투한 행위가 최근 발견되기도 했다"고 설명했다. 아직까지 Mozi봇넷으로 인한 뚜렷한 해킹 피해는 국내에 없지만 감염된 장비를 이용해 인터넷 서버를 무력화시키는 디도스(DDoS) 공격이 가능하다는 점에서 대비해야 한다는 게 국정원과 업계 설명이다.

더 큰 문제는 Mozi봇넷이 국내에 더 퍼져 있을 것이라는 점이다. 국정원은 이번에 국내 IoT 장비 100여 대가 감염됐다고 밝혔지만 이는 공공기관 해킹 시도를 기준으로 한 것이어서 빙산의 일각이라는 지적이다. 보안업체 라온화이트햇의 최정수 핵심연구팀장은 "봇넷 특성상 또 다른 장비를 공격하기 때문에 현재 파악된 것보다 더 많이 퍼졌을 가능성이 높다"고 밝혔다.

지난해 월패드 해킹 사고에 이어 이번에 CCTV, 유·무선 공유기, 영상녹화장비 등도 해킹되면서 IoT 기기 전반이 해킹 대상이 됐다는 우려가 나온다. 세계적 회계·컨설팅업체인 프라이스워터하우스쿠퍼스가 발표한 '2022년 글로벌 CEO 설문조사'에서 올해 세계 최대 위협 요인으로 '사이버 보안'이 꼽히기도 했다.

국정원 측은 IoT 기기 구매 당시 설정된 비밀번호를 바꾸지 않거나 제3자가 쉽게 추측할 수 있는 비밀번호를 사용한 장비가 주로 해킹당했다며 추측할 수 없는 비밀번호로 변경할 것을 당부했다. 또한 IoT 기기 제조사의 보안 업데이트를 주기적으로 내려받을 것을 권고했다.

[김성훈 기자 / 나현준 기자]