국정원 “국내외 IoT 장비 1만 2000대 악성코드 감염”

피해 방지 위해 중국 등 국제 공조

유무선 공유기와 CCTV, 영상녹화장비(DVR), PC일체형 광고모니터 등 국내 사물인터넷(IoT) 장비 100여 대가 ‘모지(Mozi)봇넷’이라는 악성코드에 감염된 것으로 확인됐다. 이에 국가정보원은 악성코드 확산 방지를 위해 긴급 보안조치에 들어갔다. 특히 국정원은 전세계 사이버 보안 기관에 이 같은 사실을 알리며 추가 피해 방지에 나섰다.

국정원은 “지난해 12월 러시아 침해사고대응팀(CERT)으로부터 ‘한국 IP 주소를 경유한 해킹 시도가 있다’는 정보를 공유받고 현장 조사를 한 결과 국내 한 지자체 PC일체형 광고모니터가 모지봇넷에 감염된 사실을 확인했다”며 이 같이 밝혔다.

국정원은 러시아와 정보 공유를 통해 전 세계 72개국 사물인터넷(IoT) 장비 1만 1700여 대가 ‘Mozi봇넷’이라는 악성코드에 감염된 사실을 확인하고 국내외 유관기관 및 해외 협력 기관과 대응 조치를 진행했다고 설명했다.

‘Mozi봇넷’은 △보안에 취약한 비밀번호 △최신 소프트웨어를 사용하지 않는 장비 등을 공격해서 악성코드를 감염시킨 후 감염된 장비를 DDoS 공격을 위한 좀비 PC로 활용하는 악성코드다.

국정원은 “보안관제 중인 국가기관·공공기관만을 대상으로 확인한 것으로 민간기업이나 개인까지 조사하면 피해 규모가 더욱 커질 수도 있어 국정원은 예방적 차원에서 긴급하게 관련 조치를 실시했다”며 “국내 피해방지를 위해 최근 사이버위협정보공유시스템(NCTI·KCTI)을 통해서 관련 사실을 공공기관, 민간기업 등에 긴급 전파했고, 유관기관 등과 함께 경유지 차단, 악성코드 제거 등 보안 조치를 진행하고 있다”고 설명했다.

또 국정원은 “감염 장비의 IP 주소가 확인된 미·일·EU 일부 회원국 등에 관련 정보를 공유했고, 특히 전체 감염 장비의 83%를 차지하는 중국에는 피해 확산 차단 및 공격 주체 규명을 위해서 침해사고대응팀(CERT)에 관련 자료를 지원했다”고 부연했다.

국정원 관계자는 “이번 피해는 제품 구매 당시 설정된 비밀번호를 바꾸지 않거나 제3자가 쉽게 추측할 수 있는 비밀번호를 사용하는 장비가 주요 공격 대상”이라며 “IoT 장비 사용시 비밀번호 변경 등 기본적인 보안에 유의해 줄 것”을 당부했다.

아어 이 관계자는 “최근 사이버 공격은 국경도 없고 민간과 공공의 구분이 무의미하며 그 수법도 날로 고도화·지능화, 대량화하고 있다”며 “피해 예방 및 선제적 대응을 위해 이번 사례처럼 미국·일본·EU·중국·러시아 등과도 정보 및 관련 자료를 적극적으로 공유, 협조하고 있다”고 덧붙였다.