냉난방 관리용 셋톱박스가 대규모 분산서비스거부(DDoS) 공격에 악용됐다. 사물인터넷(IoT) 보안위협이 그대로 드러나 대책 마련이 시급하다.
18일 한국인터넷진흥원(KISA)에 따르면 최근 발생한 DDoS 공격에 좀비PC나 서버가 아닌 국내 C 대기업의 냉난방 관리용 셋톱박스가 악용된 것으로 확인됐다. KISA는 최근 A 게임사 유럽지사 게임이 DDoS 공격 대상이 됐다는 신고를 받았다. 게임에 과도한 트래픽을 전송한 국내 IP를 조사한 결과 유수 대학에서 공격이 발생했다. 신고 내용과 IP 등 정황만 놓고 보면 대학 내 좀비PC가 DDoS 공격을 한 일반적인 경우로 파악됐다.
하지만 실제 조사 결과 공격을 감행한 상당수 장비가 대학 내 설치된 냉난방 관리용 셋톱박스였다. C 대기업이 대학 전체 냉난방을 효율적으로 관리하려고 설치한 장비였다.
사고 조사 결과 셋톱박스에 외부 침입이나 악성코드 흔적이 전혀 없었다. 일부 냉난방 관리 셋톱박스는 네트워크상의 다른 컴퓨터에 로그인하거나 원격시스템에서 명령을 실행하는 텔넷(Telnet) 응용프로그램도 없었다. 그럼 어떻게 대규모 DDoS를 일으켰을까.
분석 결과 셋톱박스에 네트워크타임프로토콜(NTP) 서버포트(123)가 있었다. NTP는 클라이언트와 서버 사이에 시간 동기화를 위해 사용하는 프로토콜이다. 일반적인 서버는 시간 동기화를 위해 NTP 서버에서 시간정보를 받는다.
구버전 NTP 서버는 최근 접속한 600개 IP를 보여주는 ‘몬리스트(monlist)’ 명령어를 지원한다. 공격자는 몬리스트 명령어 한 개를 보내 600개 IP정보를 담은 많은 양의 패킷을 받을 수 있다. 공격자는 A 게임사 유럽 서버가 마치 몬리스트를 요청하는 것처럼 만들어 DDoS 공격을 감행했다. 이른바 NTP 증폭 DDoS 공격이다.
KISA는 시스템 관리자에게 운영 중인 네트워크 대역에 취약한 NTP 서버가 있는지 확인하고 몬리스트 기능을 뺀 최신 NTP 4.2.7 이상 버전으로 업그레이드해야 한다고 권고했다.
박진완 KISA 취약점분석팀장은 “서버나 PC가 아닌 셋톱박스가 공격지가 된 이례적인 사고”라며 “학교나 기업 내 냉난방을 관리 제어하는 기기에 리눅스 등 운용체계(OS)가 들어가고 NTP를 쓰면서 이들 취약점을 악용한 공격이 발생해 주의를 기울여야 한다”고 말했다.
김인순기자 insoon@etnews.com
