침해사고/위협동향

시만텍 “사물인터넷 기반 스마트홈 기기 보안 강화 시급”

이민형

[디지털데일리 이민형기자] 최근 사물인터넷(IoT) 시장이 급성장하고 있는 가운데, 대부분의 스마트홈 기기에서 취약한 인증 및 웹 취약점 등 기본적인 보안 문제가 발견돼 보안 강화가 시급하다는 시만텍의 조사결과가 나왔다.

가트너에 따르면 2015년 IoT 기반 스마트홈 기기의 수는 29억대에 달할 것으로 전망되는 등 IoT 시장이 급성장하며 스마트홈 환경이 빠르게 확산되고 있다. 하지만 시만텍 조사 결과 IoT 기기의 보안은 여전히 미흡해 사용자들이 다양한 보안 위협에 노출돼 있는 것으로 나타났다.

시만텍은 스마트 온도 조절 장치, 스마트 잠금 장치, 스마트 전구, 스마트 연기 감지기, 스마트 에너지 관리 기기, 스마트 허브 등 50가지 스마트홈 기기의 보안 상태를 분석했다. 이번 조사 결과는 보안 경보기, IP기반 감시 카메라, 엔터테인먼트 시스템, 인터넷 무선 공유기, NAS(네트워크 저장장치) 기기 등에도 동일하게 적용될 수 있다.

스마트홈 기기는 백엔드 클라우드 서비스를 통해 사용량을 모니터링 하거나 사용자가 원격에서 시스템을 제어할 수 있도록 한다. 사용자들은 모바일 애플리케이션이나 웹을 통해 스마트홈 기기를 제어하거나 데이터에 접근할 수 있다. 하지만 시만텍의 조사 결과, IoT 기기를 제어하는 모바일 애플리케이션의 약 20%가 암호화 통신(SSL)을 사용하지 않고 있었다.

시만텍의 분석에 따르면 대부분의 스마트홈 기기와 서비스에서 ▲취약한 인증 ▲웹 취약점 ▲로컬 공격 ▲잠재적인 공격 가능성 등 기본적인 보안 문제가 발견됐다.

이번 조사에서 50가지의 기기 중 상호 인증을 사용하거나 강력한 비밀번호를 설정한 기기가 단 한 대도 없었다. 심지어 클라우드 인터페이스에서 단순한 4자리 숫자 PIN 코드로만 인증할 수 있게 제한돼 사용자가 강력한 비밀번호를 설정할 수 없는 경우도 있었다. 이러한 상황에서 이중 인증(Two-factor Authentication)을 지원하지 않고, 비밀번호 무차별 대입 공격(Brute-force Attack)을 차단하는 방어 수단이 없다면 공격의 표적이 되기 쉽다.

많은 스마트홈 웹 인터페이스에서 잘 알려진 웹 애플리케이션 취약점이 발견됐다. 15개 IoT 클라우드 인터페이스를 대상으로 실시한 간단한 테스트에서도 심각한 취약점들이 드러났으며, 이밖에도 경로 조작(path traversal), 파일 무제한 업로딩(원격 코드 실행), 원격 파일 삽입(RFI) 및 SQL 삽입과 관련된 10개의 취약점이 발견됐다. 스마트 전구뿐만 아니라 스마트 도어록에서도 이와 같은 취약점이 발견돼 시만텍 분석팀은 비밀번호 없이도 인터넷을 통해 원격으로 현관문을 열 수 있었다.

공격자가 인증 기능이 취약한 와이파이 네트워크 등을 통해 홈 네트워크에 침입할 경우 추가적인 공격 루트를 마음대로 사용할 수 있다. 이번 조사에서 비밀번호를 평문 형태로 로컬에 전송하거나 인증을 전혀 사용하지 않는 IoT 기기들도 발견됐다. 인증되지 않은 펌웨어 업데이트가 사용되는 경우도 많았다. 공격자는 이러한 보안 결함을 이용해 홈 네트워크에 잠입, IoT 기기의 비밀번호를 알아낼 수 있다. 이렇게 탈취한 개인 정보는 다른 명령어를 실행하는데 사용될 수 있고, 악성 펌웨어 업데이트를 통해 공격자가 기기를 완전히 장악할 수 있다.

현재까지 라우터, NAS 어플라이언스와 같은 컴퓨터 관련 기기가 아닌 스마트홈 기기 대상의 광범위한 멀웨어 공격은 발견되지 않았다. 아직 대다수의 IoT 공격은 개념 검증 단계에 있으며, 공격자에게 수익을 주는 구조는 아니다. 하지만 IoT 기술이 점차 대중화되고 있는 가운데 공격자들은 사용자를 협박하거나 홈 네트워크에 은신하는 등 표적을 공격하기 위한 새로운 방식을 생각해 낼 것이다.

시만텍은 스마트홈 기기를 겨냥한 보안 위협에 대비하기 위해 사용자와 스마트홈, IoT 기기 제조업체들이 각각 다음과 같은 보안 수칙을 준수할 것을 권고했다.

우선 개인 사용자의 경우 ▲IoT기기와 공유기에 강력한 비밀번호 사용 ▲필요 없는 경우 IoT 기기에 대한 원격 접속 해제 ▲가능한 경우 무선 대신 유선 연결 사용 ▲중고 IoT 기기 신중하게 구매 ▲공급업체의 기기 보안 정책 확인 ▲프라이버시와 보안 설정 변경 ▲필요 없는 기능 해제 ▲업데이트 생활화 등이 꼽혔다.

제조업체들은 ▲SSL 통한 기기 인증 사용 ▲디지털 코드 서명(코드사이닝) ▲호스트 기반 IoT 보안 ▲이상 행위 탐지 등을 수행해야 한다고 시만텍은 강조했다.

<이민형 기자>kiku@ddaily.co.kr


이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널