침해사고/위협동향

[미리보는 NES2015] 현실로 다가온 사물인터넷 보안위협

이민형

[디지털데일리 이민형기자] #1.지난해 11월 29일 10시 30분경부터 SK브로드밴드 인터넷망이 마비되는 사건이 발생했다.

한국인터넷진흥원(KISA) 조사결과, 원인은 인터넷 연결에 쓰이는 공유기가 악성코드에 감염돼 ISP의 DNS 서버를 대상으로 한 디도스 공격으로 밝혀졌다. 공유기가 악성코드에 감염될 수 있었던 것은 원격에서 공유기에 접속할 수 있는 23번 포트(Telnet)가 열려져 있었고, 아이디와 비밀번호가 공장초기값에서 크게 다르지 않았기 때문이다.

#2. 지난 2013년 9월 보안카메라 전문업체 트렌드넷이 미국 연방통상위원회(FTC)로부터 제재를 받는 사건이 발생했다. 트렌드넷의 유아용 CCTV가 보안에 취약하다는 지적이 나왔기 때문이다. 이 회사는 제품에 보안상 문제가 없다고 주장했으나 실제 조사결과 소프트웨어의 결함으로 인해 인터넷 주소만 알면 누구든지 보안을 우회해 온라인으로 영상과 음성을 도감청할 수 있는 것으로 나타났다.

실제로 FTC 조사결과 인터넷 상에서 약 700개의 CCTV에서 촬영 중인 실시간 영상링크가 유포되고 있었으며, 유출된 영상에는 곤히 잠든 아기의 모습부터 뛰노는 아이들, 그리고 어른들의 일상적인 생활까지 고객 수백명의 사생활이 모두 담겨 있었다.

#3. 지난 2013년 10월에는 인터넷 기반 장치를 검색할 수 있는 ‘쇼단(Shodan)’이라는 검색 엔진이 처음으로 등장했다. 이를 사용하면 난방 제어시스템과 정수 처리장, 자동차, 신호등, 태내 심장 모니터, 발전소 제어장치와 같은 다양한 디바이스를 찾아낼 수 있다.

이 장치를 통해 검색할 수 있다고 해서 해당 디바이스가 보안에 취약하다고 할 수는 없지만, 다른 취약점을 악용해서 공격하고자 하는 해커로 하여금 디바이스를 찾아내는 작업을 수월하게 해 줄 수 있다. 국내 모 대학에서 열린 해킹방어대회에서 ‘쇼단’을 통한 병원 CCTV 해킹 문제가 출제돼 논란이되기도 했다.

◆ 진화하는 보안위협 = 앞서 소개한 세가지의 사례는 사물인터넷(IoT) 시대 도래로 인한 새로운 보안위협을 보여주고 있다.

가트너에 따르면 2015년 IoT 기반 스마트홈 기기의 수는 29억대에 달할 것으로 전망되는 등 IoT 시장이 급성장하며 스마트홈 환경이 빠르게 확산되고 있다. 하지만 앞선 사례처럼 IoT 기기의 보안은 여전히 미흡해 사용자들이 다양한 보안 위협에 노출돼 있는 것으로 나타났다.

시만텍의 분석에 따르면 대부분의 스마트홈 기기와 서비스에서 ▲취약한 인증 ▲웹 취약점 ▲로컬 공격 ▲잠재적인 공격 가능성 등 기본적인 보안 문제가 발견됐다.

스마트홈 기기는 백엔드 클라우드 서비스를 통해 사용량을 모니터링 하거나 사용자가 원격에서 시스템을 제어할 수 있도록 한다.

사용자들은 모바일 애플리케이션이나 웹을 통해 스마트홈 기기를 제어하거나 데이터에 접근할 수 있다. 하지만 시만텍의 조사 결과, IoT 기기를 제어하는 모바일 애플리케이션의 약 20%가 암호화 통신(SSL)을 사용하지 않고 있었다.

가정에서 쓰이는 사물인터넷 기기들은 대부분 인터넷공유기와 같은 게이트웨이를 통해 데이터를 주고받는다. 사이버공격자가 게이트웨이를 공격해 권한을 탈취할 경우 여기에 접속하는 스마트TV, 스마트폰, PC 등 모든 사물인터넷 기기에 대한 중간자 공격 등이 가능해진다.

차민석 안랩 책임연구원은 “미국 범죄수사 드라마를 보면 땅콩 알레르기가 있는 사람을 살해하기 위해 음식 주문 POS기를 해킹하는 장면이 나온다. 클라이언트와 서버간의 통신을 가로챈 것”이라며 “사물인터넷 기기들이 보안에 취약하다면 충분히 현실에서도 발생할 수 있다”고 지적했다.

이뿐만 아니라 인터넷공유기의 외부접속 취약점을 악용해 파밍사이트로 유도하는 공격도 점차 확산되고 있다.

공격자는 자동화도구를 통해 비밀번호가 설정돼 있지 않은 공유기에 접속, 호스트 주소(host.ics)를 변조한다. 해당 공유기에 접속한 모든 사용자들은 공격자가 의도하는 파밍 사이트로 접속하게 되고, 개인정보유출 등의 위협에 고스란히 노출되게 된다.

특히 최근에는 공공장소에 있는 공유기의 환경설정을 변조해 파밍용 애플리케이션을 내려받도록 하는 공격 유형이 나타나고 있어 주의가 필요하다.

시만텍은 스마트홈 기기를 겨냥한 보안 위협에 대비하기 위해 사용자와 스마트홈, IoT 기기 제조업체들이 각각 다음과 같은 보안 수칙을 준수할 것을 권고했다.

우선 개인 사용자의 경우 ▲IoT기기와 공유기에 강력한 비밀번호 사용 ▲필요 없는 경우 IoT 기기에 대한 원격 접속 해제 ▲가능한 경우 무선 대신 유선 연결 사용 ▲중고 IoT 기기 신중하게 구매 ▲공급업체의 기기 보안 정책 확인 ▲프라이버시와 보안 설정 변경 ▲필요 없는 기능 해제 ▲업데이트 생활화 등이 꼽혔다.

제조업체들은 ▲SSL 통한 기기 인증 사용 ▲디지털 코드 서명(코드사이닝) ▲호스트 기반 IoT 보안 ▲이상 행위 탐지 등을 수행해야 한다고 시만텍은 강조했다.

<이민형 기자>kiku@ddaily.co.kr

‘차세대 기업보안 세미나(NES) 2015’에 여러분을 초대합니다.
바야흐로 모바일, 소셜, 클라우드, 빅데이터 분석, 사물인터넷(IoT) 시대입니다. 기업의 중요자산과 고객정보를 노린 사이버 보안위협에 적극적으로 대응하고 위험을 효과적으로 관리하는 차원을 넘어 정보보호가 비즈니스의 핵심 요소로 자리매김해야 할 시점이 도래했습니다.
기업이 새로운 IT기술을 이용해 새로운 서비스와 수익모델을 창출하기 위해서는 보안이 담보되지 않으면 안됩니다. 이제 보안은 더 이상 새로운 서비스 출시를 발목 잡는 분야가 아니라 적극적인 비즈니스 조력자이자 추동자로 자리매김해야 합니다.
이에 <디지털데일리>는 ‘차세대 기업보안 세미나(NES) 2015’를 통해 지능형 표적공격을 비롯해 조직을 위협하는 각종 보안위협 동향과 새롭게 대두되는 보안기술, 효과적인 방어체계, 위험관리 전략을 살펴볼 계획입니다.
독자 여러분의 많은 관심과 참여 부탁드립니다. 감사합니다.

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널