클라우드 기반 봇넷 ShadowV2 등장: 미라이 봇넷의 진화와 IoT 보안 위협

최근 아마존 웹 서비스(AWS) 장애 발생 시 짧은 시간 동안 활동했던 새로운 봇넷, ShadowV2가 발견되었습니다. 이 봇넷은 악명 높은 미라이(Mirai) 봇넷을 기반으로 구축되었으며, IoT 기기를 대상으로 다양한 벤더의 취약점을 공격하는 모습을 보였습니다. 보안 전문가들은 ShadowV2의 활동이 단순한 테스트 실행일 가능성이 높으며, 향후 더 큰 규모의 공격을 준비하고 있을 수 있다고 경고합니다.

미라이 봇넷의 후예, ShadowV2의 등장

FortiGuard Labs의 보안 연구원들은 ShadowV2라는 새로운 봇넷을 발견했습니다. 이 봇넷은 최근 AWS 장애가 발생했을 때만 활성화되었으며, 약 15시간 동안 활동했습니다. ShadowV2는 DD-WRT, D-Link, DigiEver, TBK, TP-Link 등 다양한 제조사의 취약점을 이용하여 라우터, Wi-Fi 액세스 포인트, NAS 장치, DVR, 네트워크 비디오 레코더 등 다양한 IoT 기기를 감염시켜 네트워크를 구축했습니다.

ShadowV2, 어떻게 작동하나

ShadowV2는 미라이 봇넷과 유사한 방식으로 작동할 수 있습니다. 즉, 분산 서비스 거부(DDoS) 공격을 실행하고, 인터넷에서 취약한 기기를 스캔하며, 무차별 대입 공격을 통해 자격 증명을 탈취하고, 감염된 기기를 사용하여 봇넷을 확산시킬 수 있습니다. ShadowV2는 이전에는 AWS EC2 인스턴스만을 대상으로 했지만, 현재는 기술, 소매, 숙박, 정부, 통신 등 다양한 산업을 대상으로 진화했습니다.

ShadowV2의 글로벌 확산

ShadowV2는 캐나다, 미국, 영국, 중국, 러시아, 사우디 아라비아 등 20개국 이상에서 발견되었습니다. 현재까지 ShadowV2에 감염된 기기의 수는 정확히 알려지지 않았지만, 주로 IoT 기기를 대상으로 구축된 것으로 알려져 있습니다. ShadowV2의 테스트 실행 직후, Azure는 "역대 최대 규모"의 클라우드 기반 DDoS 공격을 받았는데, 이 공격은 아이스루(Aisuru) 봇넷에 의해 수행되었으며, 아이스루 또한 미라이의 "후손"으로 간주됩니다.

미라이 봇넷의 유산

미라이는 혁신적인 IoT 악성 코드로, 역사상 가장 파괴적인 봇넷을 만들어 주요 웹사이트와 인터넷 인프라를 마비시킨 것으로 악명이 높습니다. 미라이 봇넷은 취약한 IoT 기기를 감염시켜 대규모 봇넷을 구축하고, 이를 이용해 강력한 DDoS 공격을 수행했습니다. ShadowV2와 같은 미라이 기반 봇넷의 등장은 IoT 보안의 중요성을 다시 한번 강조하며, 지속적인 보안 업데이트와 강력한 비밀번호 설정의 필요성을 상기시켜 줍니다.

결론

ShadowV2의 등장은 미라이 봇넷의 유산이 여전히 강력하며, IoT 기기를 대상으로 하는 사이버 공격 위협이 끊임없이 진화하고 있음을 보여줍니다. 개인과 기업은 IoT 기기의 보안을 강화하고, 최신 보안 위협에 대한 정보를 꾸준히 습득하여 봇넷 공격으로부터 안전을 확보해야 합니다.