Raspberry pi: 보안 취약점(?)

나와 같은 실수를 하는 사람이 있을까 싶어 포스팅해본다.

외부에서 사용할 목적으로 집에 있는 공유기에 port forwarding을 해서 raspberry pi에 연결해놓았다. 사람들이 흔히 알기 어려운 port에 사용하다가 특별한 이유로 8080 포트에 뚫어두었는데, 그 틈을 비집고 누군가 들어와서 일을 벌여놨다. 대략 보름 정도 뒤에 알게 된 것 같다. 우연히 공유기를 쳐다보니 외부 인터넷 엑세스가 아무 이유없이 빈번히 일어나고 있어서 알게 되었다.

대개 raspberry pi에 리눅스를 새로 설치하게 되면 alarm 내지는 alarmpi라는 계정이 붙고 거기에 뻔한 비밀번호가 붙는다. 어쩌다 한번 설치하게 되면 이 계정이 의미가 없으니까 지워버린다거나 아니면 login 못하게 만들게 되는데, 뜻하지 않게 시스템을 날려먹거나 개판이 되는 경우가 생기면 급하게 새로 설치해서 세팅해야 되니까 alarm/alarmpi가 무방비로 있다는 것을 잊게 된다.

대개 낮은 급수의 해킹 프로그램들은 이런 빈틈을 이용해서 예측하기 쉬운 password를 넣어본다든가 하게 되는데, 이것도 마찬가지로 그 범주에 드는 것이다. NAS도 마찬가지로 잘 알려진 패턴이 있어서 아무 생각없이 외부에 뜷어놓다간 쉽게 당하게 되는 것이다.

일을 벌여놓은 raspberry pi에 들어가보니 수도 없이 많은 host의 22번 포트로 접속을 시도하고 있는 것을 발견했다. 그러니까 내 raspberry pi가 또 다른 곳으로 무단 침입하려는 수단으로 이용되고 있었던 것이다. 테스트 삼아 열심히 돌고 있는 process를 죽여봤더니 이내 다시 살아나는 것을 보고 일종의 해킹 킷을 사용했구나 싶었다. arm용으로 binary가 만들어진 것인지 아니면 가져다가 빌드해서 돌린 것인지 뒤져보진 않았지만 시스템에 남겨진 기록을 보니 한국에서 접속한 것 (강북의 중화동이었다)으로 나타났다.

실력자라면 티 안나게 재미를 봤겠지 싶은데 사실 보름동안이니까 무슨 짓을 했을지 대충 짐작은 가지만 생각할 수록 맘이 쓰려서 싹 잊고 다 정리해버렸다. 아마도 자동화된 툴을 써서 다른 곳으로 침입하기 위한 경유지로 사용한 것 같다. 어차피 해킹해봐야 들어있는 것도 별로 없고 컴퓨팅 능력이나 네트워크 대역폭도 크지 않았으니까 말이다. 이런 이유로 최근에 내 ip address가 어딘가에 blacklist에 오른 것 같은 느낌이 들었는데, 아마도 바꿔줘야 할 것 같다.

이런 일은 그냥 개인한테도 일어나지만 큰 회사에서도 잘 일어난다. 회사의 경우는 네트워크 대역폭이 넓어서 한번 일을 저지르면 그 파급력이 꽤 크다. 가끔씩 IT 팀에서 공지가 떴던 기억을 떠올리면 말이다.