오늘의 상식(컴퓨터 용어)- 모지봇넷 Mozi botnet
사물인터넷 기기를 감염시켜 디도스 공격에 활용하는 악성코드로 넷기어, 화웨이 등 통신장비 라우터의 취약점을 노리는 것으로 알려져 있다.
국내에서는 국가정보원이 2022년 1월 국내 모 지자체 PC일체형 광고 모니터를 비롯해 국가·공공기관의 100여 대 기기가 모지봇넷에 감염된 것을 확인하고 보안조치를 취한 바 있다.
사물인터넷(IoT)을 공격해 감염된 장비로 인터넷 서버를 무력화시키는 디도스(DDoS) 공격을 하는 봇넷 멀웨어로, 2019년 말 본격적으로 활동을 시작했다. 미라이(Mirai), 가프짓(Gafgyt), IoT리퍼(IoT Reaper) 등 기존 멀웨어에서 나온 소스코드로 구성돼 있으며 소스가 공개돼 있어 해커가 자유롭게 쓸 수 있다. 주로 넷기어나 D-Link, 화웨이 등 통신장비 라우터의 취약점을 노려 HTTP 하이재킹, DNS 스푸핑을 통해 MITM 등의 공격으로 유무선 공유기·폐쇄회로TV(CCTV)·영상녹화장비(DVR)·PC일체형 광고모니터 등 IoT 장비에 침투하는 것으로 알려져 있다.
국내에서는 2021년 12월 국가정보원이 러시아와의 정보 공유를 통해 세계 72개국 IoT 장비 1만 1700여 대가 모지봇넷 악성코드에 감염된 사실을 확인해 대응에 나섰다. 그 결과 국내 모 지자체 PC일체형 광고 모니터가 모지봇넷에 감염된 사실을 확인했고, 국가·공공기관을 점검한 결과 100여 대가 감염된 것으로 파악했다. 감염된 일부 장비는 비트코인 등의 가상자산 채굴용 악성코드 유포를 위한 경유지로 활용된 것으로 알려졌다. 이에 국정원은 2022년 1월 사이버위협정보공유시스템(NCTI·KCTI)을 통해 관련 사실을 알리고 유관기관 등과 경유지 차단, 악성코드 제거 등의 보안조치를 취했다.
한편, 2021년 7월 모지봇넷 개발자와 운영자가 체포됐지만 모지봇넷은 계속적으로 확산되고 있다. 이는 모지봇넷이 P2P 구성으로 돼 있기 때문인데, P2P 구성을 채택한 봇넷은 인프라 일부를 제거해도 봇넷 전체에는 큰 영향이 없어 다른 봇넷과 달리 폐쇄하기가 매우 어렵다.