SkidSec 해커 그룹이 11월 29일 텔레그램에서 남한의 노출된 프린터를 공격하여 북한 선전물을 유포하자는 계획을 발표했다. 북한 선전물이란, 북한의 사상에 대한 선전과 남한에 대한 비판 등 대남을 위해 만들어진 전단지 등을 말한다. 이 갑작스러운 해킹 공격 선언에 따르면, 다가오는 주말 모든 남한의 취약한 프린터를 공격하여 이 선전물이 출력 되도록 할 계획으로 보인다.
(출처: https://www.bbc.com/korean/news-61187545)
SkidSec 해커그룹의 노출된 프린터 북한 선전물 유포 공격 방법
텔레그램으로 공표한 공격 방법은 네트워크 및 시스템 보안 정보 수집 서비스”Censys”를 이용하여 남한에 있는 노출된 인터넷 인쇄 프로토콜(IPP)의 HP 프린터를 찾아 연결하고 북한 선전 포스터를 출력하는 것이다.
알려진 남한 프린터 해킹 및 북한 선전물 유포 방법
- Censys에 접속한다.
- 검색창에 ((services.software.product=JetDirect) and services.service_name=IPP) and location.country=`South Korea` 를 붙여 넣는다.
- 오픈된 IPP(인터넷 인쇄 프로토콜)을 사용하여 북한 선전 포스터를 출력한다.
그들이 공개한 방법대로 “Censys”에서 검색하면 몇 천 개의 남한 프린터가 인터넷에 연결된 되어있다. 그러나 이 중 인증이 걸려 있는 프린터는 인쇄가 어려울 것으로 예상되며, 인증이 없는 프린터는 북한 선전물이 프린트되는 일이 발생할 것으로 보인다.
심지어 이 해커 그룹은 이번 주말 동안 가장 많은 프린터를 공격해 북한 선전물을 출력한 사람에게 모네로 가상화폐를 지급할 예정이라고도 밝혔다. 남한의 기업 및 정부기관은 이번 주말 불시에 프린터에서 북한의 선전물이 프린트 되지 않으려면 빠른 조치를 취해야 한다.
해킹 공격 예고 대상인 인터넷에 노출된 남한 프린터 장치 찾기
Criminal IP Asset Search에서 SkidSec 해커 그룹의 공격 방법에 맞는 쿼리를 입력하면 이들이 타겟으로 하는 노출된 대한민국의 프린터 장치를 찾을 수 있다.
Search Query: HP port: 631 country: KR
검색 결과, 노출된 공격 대상이 되는 노출된 프린터 2천 대 이상 발견되었다.
더 자세한 공격 대상을 확인하기 위해 노출되어있는 프린터를 보유한 서버의 AS Name 통계를 확인해 보았다.
Element Analysis에 동일한 쿼리로 확인한 AS Name 통계를 보면, 대한민국의 통신사인 korea telecom이 가장 많았다. 이는, 대한민국의 가정집 또는 기업 및 기관에서 korea telecom의 IP 주소를 사용하고 있기 때문이다.
하지만, 통계를 자세히 보면 대학교나 기업으로 보이는 AS Name도 꽤 많이 발견된 것을 확인할 수 있다.
노출된 프린터 취약점 예방 방법
이번 SkidSec 해커 그룹의 북한 선전물 유포 공격 예고는 어찌 보면 그리 위협적이지 않은 해킹 공격으로 생각될 수 있다. 하지만, 이렇게 노출된 프린터 장치로 인해 다른 내부의 중요 시스템, 서버, 정보가 유출될 수도 있다. 때문에, 이렇게 노출된 프린터가 발견된 기업 및 기관에서는 빨리 프린터가 외부에 노출되지 않도록 공격 표면을 점검하고 조치해야 한다.
외부에 노출된 공격 표면을 제거하는 방법은 간단하다. 열려있는 포트를 닫거나, 취약한 인증 설정을 수정해 외부의 접근을 차단하는 것이다.
관련하여 위협 인텔리전스 기반 ASM 솔루션을 활용한 사이버 자산 노출 탐지 사례 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처 : Criminal IP(https://www.criminalip.io/ko)
관련 글 :