한국에서도 피해가 발생 중인 인터넷 연결된 프린터 해킹 주의!

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 

최근 프린터에서 영문으로 된 이상한 인쇄물들이 출력되어 프린터 해킹이 의심 된다는 제보가 이어지고 있습니다. 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/printeradvertisingcom-spam-service-claims-it-can-print-anywhere/>

인쇄 페이지에는 Printeradvertising.com이라고 불리는 새로운 서비스가 출시되었으며, 이 서비스는 전 세계에 모든 연결된 프린터들에 바이럴 광고가 가능하다고 홍보하고 있습니다. 

<이미지 출처 : https://twitter.com/Andrew___Morris/status/1069349287090364416>

보안회사 CEO인 Morris는 허니팟을 통해 194.36.173.50 IP 주소에서 적어도 60개 이상의 악의적인 인쇄작업 요청을 감지했다고 밝혔습니다. 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/printeradvertisingcom-spam-service-claims-it-can-print-anywhere/>

Bad Packets Report와 Pishing AI‏는 이 IP 주소가 피싱 키트, C2 서버, Lokibot와 같은 악성 프로그램 등의 악성 활동으로 알려진 서브넷에 속한다고 명시하고 있습니다. 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/printeradvertisingcom-spam-service-claims-it-can-print-anywhere/>

원시 데이터 형식의 PCL을 사용하여 인쇄작업 요청을 프린터에 전송합니다. 만약 이것이 성공한다면, printeradvertising.com 사이트를 홍보합니다. 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/printeradvertisingcom-spam-service-claims-it-can-print-anywhere/>

내용은 다음과 같습니다. 

Guerrilla marketing experts - printeradvertising.com

Secure your spot in the most viral ad campaign in history.

We have the ability to reach every single printer in the world!

Reservations are limited.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/printeradvertisingcom-spam-service-claims-it-can-print-anywhere/>

이 사이트 운영자라고 주장하는 @printerads라는 사람은 실제로 이런 서비스에 대한 사람들의 수요를 알아보기 위해 이러한 방법을 이용했다고 밝혔으며, 만약 수요가 많다고 판단된다면 더 많은 프린터 프로토콜을 지원하는 웹 플랫폼을 만들 것이라고 밝혔습니다. 

Printeradvertising은 실제 서비스로, 250달러에 제공되고 있는것으로 확인되었습니다. 

이렇게 프린터를 불법으로 해킹하여 홍보를 하는 활동은 새로운 것은 아닙니다. 얼마 전에도 PewDiePie 유튜브 채널과 L0de Radio Hour을 구독하라는 스팸도 유사한 방식으로 유포된적 있습니다. 

이러한 해킹을 방지하려면, 네트워크 프린터가 인터넷에 연결되어있지 않아야 합니다. 

많은 ISP가 프린터 데몬과 관련된 TCP 포트를 차단하고 있지만, 또 많은 ISP가 아직 차단하고 있지 않습니다. 실제로 Shodan.io에 따르면, 전 세계에 13,000개 이상의 프린터가 인터넷에 연결된 것으로 확인되었다고 밝혔습니다. 

또한 만약 원격에서 사용자가 내부 네트워크 프린터에 접근 허용을 해야 하는 경우, 프린터를 반드시 방화벽 뒷쪽에 위치시키고, VPN을 이용하도록 해야한다고 밝히고 있습니다. 

국내에서도 다수의 피해사례가 발생하는 만큼, 사용자 여러분들은 프린터를 외부 인터넷에 연결 되어있는지 확인 후 연결을 해제해 주셔야 하며, 부득이하게 인터넷에 연결을 해야 한다면 PCL 프로토콜이 사용하는 9100번 포트를 외부에서 사용할 수 없도록 차단해 주시기를 권고 드립니다. 

더 자세한 조치 방법은 여기를 참고해 주시기 바랍니다. 

출처 : 

https://www.bleepingcomputer.com/news/security/printeradvertisingcom-spam-service-claims-it-can-print-anywhere/