​IoT 장비 약 1.2만대 악성코드 감염...국정원 긴급 대응 수행

2022-01-19 10:48
  • 글자크기 설정

러시아와 정보 공유로 국내 감염 확인...추가 조사로 해외 동일 사례 다수 발견

감염 장비 DDoS 공격에 악용될 가능성 있어 국내·외 기관과 조치·협력 중

국내 긴급 보안 조치, 중국 측에 관련 자료 제공, 미·일·EU과도 정보 공유

[사진=게티이미지뱅크]

국가정보원이 최근 러시아와 정보 공유를 통해 전 세계 72개국 사물인터넷(IoT) 장비 약 1만 1700대가 'Mozi봇넷' 악성코드에 감염된 사실을 확인하고 국내외 유관기관, 해외 협력 기관과 대응 조치를 진행 중이라고 밝혔다.

Mozi봇넷은 △보안에 취약한 비밀번호 △최신 소프트웨어를 사용하지 않는 장비 등을 공격해해 감염시킨 후, 감염된 장비를 DDoS(분산 서비스 거부) 공격에 활용하는 악성코드다. 즉 가정 내 스마트 가전 등 각종 IoT 장비를 좀비PC처럼 활용해 DDoS 공격을 펼칠 수 있다.

국정원은 지난해 12월 러시아 침해사고대응팀(CERT)으로부터 한국 IP 주소를 경유한 해킹 시도가 있다는 정보를 확인하고, 현장 조사를 실시했다. 그 결과 국내 모 지자체 PC 일체형 광고 모니터(디지털 사이니지)가 해당 악성코드에 감염된 사실을 확인했다.

국정원은 이후 추가 조사와 보안관제를 통해 국내외 유무선 공유기·CCTV·영상녹화장비(DVR)·PC 일체형 광고 모니터 등 약 1만 1700대(국내 100여대, 해외 1만 1600여대)가 동일한 악성코드에 감염된 사실을 추가로 확인했다. 특히 일부 장비는 가상자산 채굴용 악성코드(크립토 마이너) 유포를 위한 경유지로 활용됐다는 사실도 밝혀냈다.

이는 국정원이 보안관제 중인 국가기관·공공기관을 대상으로 확인한 것으로 민간기업이나 개인까지 조사하면 피해 규모가 더욱 커질 수도 있다. 이에 따라 예방적 차원에서 긴급하게 관련 조치를 실시했다고 덧붙였다.

우선, 국내 피해방지를 위해 올해 1월 초순 사이버위협정보공유시스템(NCTI·KCTI)을 통해 관련 사실을 공공기관, 민간기업 등에 긴급 전파했고, 유관기관 등과 함께 경유지 차단, 악성코드 제거 등 보안 조치를 진행 중이다.

아울러 감염 장비 IP 주소가 확인된 미·일·유럽연합(EU) 일부 회원국에도 관련 정보를 공유했고, 전체 감염 장비의 83%를 차지하는 중국에는 피해 확산 차단과 공격 주체 규명을 위해서 중국 CERT에 관련 자료를 지원했다.

국정원 관계자는 "이번 피해는 제품 구매 당시 설정된 비밀번호를 바꾸지 않거나 제3자가 쉽게 추측할 수 있는 비밀번호를 사용하는 장비가 주요 공격 대상"이라며 "IoT 장비 사용 시 비밀번호 변경 등 기본적인 보안에 유의해야 한다"고 당부했다.

또, "최근 사이버 공격은 국경이 없고, 민간과 공의 구분이 무의미하며, 수법도 날로 고도화·지능화·대량화하고 있다"며 "국정원은 피해 예방과 선제적 대응을 위해 미국·일본·EU·중국·러시아 등과도 정보와 관련 자료를 적극적으로 공유하며 협조하고 있다"고 설명했다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기