Mirai 봇넷

Table of Contents

Toggle

1. Mirai 봇넷의 정의

Mirai는 2016년 등장한 IoT(사물인터넷) 기기 대상의 악성코드(멀웨어) 및 봇넷으로, 감염된 기기를 이용하여 대규모 DDoS(분산 서비스 거부) 공격을 수행하는 악성 프로그램입니다.

Mirai는 주로 IP 카메라, 라우터, DVR(디지털 비디오 레코더) 등의 보안이 취약한 IoT 기기를 감염시킵니다.
기본적으로 하드코딩된 디폴트 아이디/비밀번호(기본 로그인 정보) 를 사용하여 네트워크에 연결된 취약한 장비를 장악합니다.
감염된 기기는 해커의 명령에 따라 봇넷(Botnet) 네트워크에 포함되어 공격을 수행합니다.

Mirai는 2016년 9월, 익명의 해커가 소스 코드를 공개하면서 빠르게 확산되었으며, 이후 변종들이 계속해서 등장하고 있습니다.

2. Mirai 봇넷의 위협 내용

Mirai 봇넷은 다음과 같은 주요 위협을 유발합니다.

① 대규모 DDoS 공격 수행

감염된 IoT 기기를 좀비(Zombie) PC처럼 활용하여 트래픽을 폭증시키고, 특정 웹사이트나 서버를 마비시킵니다.
기업, 정부 기관, 금융 서비스 등 중요한 인프라를 공격 대상으로 삼아 심각한 서비스 장애를 유발합니다.

② IoT 기기 취약점 악용

Mirai는 주로 보안 설정이 취약한 IoT 기기를 타겟으로 합니다.
기본 로그인 정보를 변경하지 않은 IoT 기기를 검색하여 감염시키고, 추가적인 악성코드 다운로드 및 백도어 설치를 수행합니다.

③ 지속적인 변종 등장

Mirai 소스코드가 공개된 이후, 여러 해커 그룹이 이를 변형하여 더 강력한 버전을 제작했습니다.
대표적인 변종으로 Satori, Okiru, Reaper, Mozi 등이 있으며, 공격 대상과 전파 방식이 더욱 정교해지고 있습니다.

3. Mirai 봇넷의 피해 사례

① Dyn DNS DDoS 공격 (2016년 10월)

2016년 10월, Mirai 봇넷은 DNS 서비스 제공업체 Dyn을 공격하여 트위터, 넷플릭스, 아마존, 깃허브, 페이팔 등 주요 서비스가 마비되었습니다.
10만 개 이상의 감염된 IoT 기기를 동원하여 Dyn 서버에 1.2Tbps(테라비트급) 트래픽을 유발한 것으로 추정됩니다.

② Deutsche Telekom 라우터 감염 (2016년 11월)

독일 통신사 Deutsche Telekom의 90만 개 이상의 라우터가 Mirai 변종에 감염되었습니다.
감염된 라우터는 네트워크 연결이 차단되었으며, 인터넷 서비스 장애가 발생했습니다.

③ 유럽 전역에서 감염 확산 (2017년~현재)

2017년 이후 Mirai 변종이 유럽, 아시아, 북미 전역으로 확산되었으며, 기업 네트워크, 공공 기관, 스마트홈 기기 등을 지속적으로 감염시키고 있습니다.
2021년에는 Mirai 기반의 변종이 미국 및 유럽의 금융 및 의료기관을 공격하는 사례가 보고되었습니다.

4. Mirai 봇넷 대응 방안

1) IoT 기기의 보안 강화

기본적으로 제공되는 디폴트 계정(예: admin/admin, root/root)을 변경하여 무차별 대입 공격(Brute Force)으로부터 보호해야 합니다.
SSH, Telnet 등 원격 접속 기능이 필요하지 않다면 비활성화합니다.
최신 보안 업데이트 및 패치를 적용하여 알려진 취약점을 방지해야 합니다.

2) 네트워크 보안 조치

방화벽을 설정하여 불필요한 포트(특히 23번 Telnet 포트) 차단
이상 트래픽 감지 시스템(IDS/IPS)을 활용하여 DDoS 공격을 조기에 탐지 및 차단
네트워크 세그멘테이션(Network Segmentation) 적용하여 감염 확산을 방지

3) DDoS 공격 방어 솔루션 활용

Cloudflare, Akamai, AWS Shield 등 DDoS 보호 서비스를 활용하여 공격 대응
DDoS 공격이 감지되면 트래픽 우회 및 필터링 조치 적용

4) Mirai 감염 여부 점검 및 제거

IoT 기기의 비정상적인 트래픽 발생 여부를 확인
Mirai에 감염된 경우 기기를 초기화(Factory Reset) 후 최신 보안 패치 적용
감염된 장비를 네트워크에서 분리하여 추가 확산을 방지

5) 법적 대응 및 사용자 교육

정부 및 사이버 보안 기관과 협력하여 Mirai 및 변종의 확산 방지
IoT 기기 제조업체는 보안 기능이 강화된 펌웨어 및 보안 가이드라인을 제공해야 함
일반 사용자는 보안 인식 교육을 통해 IoT 기기의 보안 설정을 강화하도록 유도

5. 동작방식

1️⃣ 스캐너(Scanner): 공격자는 Mirai를 실행하여 인터넷에서 취약한 IoT 기기(기본 계정이 설정된 기기)를 검색합니다.
2️⃣ 감염(Exploitation): 취약한 기기를 찾으면 Mirai가 기본 아이디/비밀번호로 로그인하여 악성코드를 설치합니다.
3️⃣ C&C 서버(명령 및 제어 서버, Command & Control): 감염된 IoT 기기는 C&C 서버에 연결되어 공격 명령을 대기합니다.
4️⃣ 봇넷 형성(Botnet Creation): Mirai가 여러 IoT 기기를 감염시키면서 대규모 봇넷 네트워크를 구축합니다.
5️⃣ DDoS 공격 실행(DDoS Attack Execution): 공격자가 C&C 서버를 통해 명령을 내리면 감염된 기기들은 대량의 트래픽을 생성하여 특정 타겟을 공격합니다.

🔽 Mirai 봇넷 동작 방식 구성도

6. 결론

Mirai 봇넷은 IoT 기기의 보안 취약점을 악용하여 대규모 DDoS 공격을 수행하는 악성코드입니다. 2016년부터 현재까지도 변종이 지속적으로 등장하며 글로벌 보안 위협으로 남아 있습니다.

✅ IoT 기기의 기본 계정 및 패스워드 변경
✅ 불필요한 포트 및 원격 접속 서비스 차단
✅ 네트워크 방화벽 및 IDS/IPS 적용
✅ DDoS 보호 서비스 활용 (Cloudflare, AWS Shield 등)
✅ 정기적인 보안 패치 및 최신 펌웨어 업데이트