IoT 보안위협에 따른 대응방안
Internet of Things = Internet of Threats (사물인터넷인가? 위협인터넷인가?)
■ 좀비 자동차들의 질주…현실이 될 수 있다
올해 4월 개봉한 영화 ‘분노의 질주: 더 익스트림’은 2001년 처음 선보여진 이래 자동차 영화의 바이블이라 불릴 정도로 높은 인기를 누리고 있는 분노의 질주 시리즈의 최신작이다. 이 영화의 진짜 주인공이라고 할 수 있는 튜닝 된 최고급 자동차들이 시원하게 달리고 부딪치는 장면은 매우 흥미진진했다. 그러나 무엇보다 가장 인상 깊었던 부분은 해킹에 의해 좀비화된 자동차들이 공격자의 명령에 따라 거리에 비처럼 쏟아져 나와 도로를 마비시키는 장면이었다. 조금 과장된 면은 있지만, 우리 삶에 파고들고 있는 사물인터넷(Internet of Things, 이하 IoT) 보안 위협을 실감나게 묘사하고 있었기 때문이다.
전 세계적으로 IoT 기술 도입이 급격히 증가함에 따라, 자율주행자동차를 비롯한 다양한 IoT 기기와 네트워크, 플랫폼을 노린 보안 위협은 날로 높아지고 있는 추세다. 글로벌 리서치 전문기관 가트너는 전 세계 IoT 기기가 2017년에는 84억 대까지 오는 2020년에는 무려 240억대까지 증가하는 등 전 세계적으로 IoT 활용이 빠르게 확산됨에 따라, 2020년에는 전 세계 사이버 공격의 1/4에 해당되는 보안 위협이 IoT와 관련되어 발생할 것이라고 전망했다. 영화 속에서 묘사된 ‘좀비 자동차들의 질주’가 상상의 영역을 넘어 언제든지 현실로 이뤄질 수 있다는 것이다.
실제로 여러 사례를 통해 인터넷에 연결된 모든 IoT 기기, 네트워크, 플랫폼이 사이버 공격의 표적이 될 수 있음이 증명된 바 있다. 2015년, 글로벌 자동차회사인 피아트-크라이슬러는 해킹을 통한 자동차 원격조정 가능성이 제기됨에 따라, 미국 내 자동차 140만 대에 대한 자발적인 리콜을 결정했다. 미국 인터넷 호스팅 서비스업체인 ‘딘(Dyn)’을 노린 DDoS 공격, 오스트리아의 한 호텔 객실 출입문을 열지 못하게 만든 랜섬웨어 공격 역시 보안성이 확보되지 않은 IoT 기기와 서비스가 공격에 악용될 시 발생할 수 있는 위험성을 여실히 보여준다.
앞 사례에서 확인했듯이, 상당수의 IoT 기기들이 개인의 삶과 밀접히 연관되어 있는 만큼, 이를 노린 공격이 발생한다면, 단순한 정보 유출, 금전적인 피해를 넘어, 사용자의 생명을 위협하는 무기로 돌변할 수도 있다. 이와 같은 IoT 보안 위협에 유연하기 맞서기 위해 우리는 어떠한 대응책을 마련해야 할까? 이에, IoT 보안 위협이 주로 어떤 형태로 발생하고 있고 이로 인해 어떤 피해가 야기되고 있는지 IoT 기기를 통해 발생한 보안 사고 사례를 살펴보며, IoT 보안 위협에 대한 대응 방안을 논의하는 시간을 가져보고자 한다.
■ 새로운 위협의 시작, IoT 기기·네트워크·플랫폼을 노리는 다양한 공격들
많은 IoT 기기 및 서비스 제공사들이 IoT 보안의 중요성은 절실히 인지하고 있으면서도 구체적인 보안 전략 마련에 어려움을 겪고 있는 이유는 무엇일까? 다양한 특성을 가진 이기종의 기기가 상호 연결되는 IoT 환경에서는 PC, 모바일 기기 중심의 기존 환경과는 달리 공격자가 노릴만한 침투 경로와 공격 방법이 다양화 될 수 있을 뿐더러, 상당수의 IoT 기기가 개인 소유인 만큼 빠른 공격 탐지 및 대응이 더욱 어렵기 때문이다. 또한 지속적인 운영 관리가 이뤄지지 않는다면, 새로운 취약점을 악용한 공격에도 무방비로 당할 수 밖에 없는 것이 사실이다.
다시 말해, 기획 및 개발부터 서비스 운영까지 IoT 기기/서비스 생명주기 전반에 걸친 보안성이 확보되지 않는다면, 중요한 정보가 유출되고, 서비스 장애가 발생하며, 더 나아가 사용자의 생명에 위협을 가하는 보안 사고가 발생할 수 있다. 공격자들은 다양한 이기종의 기기가 상호 연결되는 만큼 공격 성공 시 놀라울 정도의 파급력을 갖는다는 점을 인지하고 ▷센서와 통신 기능이 내장되어 데이터를 주고받는 물리적 ‘IoT 기기’, ▷기기-기기간, 기기-사용자간 통신을 위한 ‘IoT 네트워크’, ▷‘IoT 서비스’ 구현을 위한 웹사이트와 애플리케이션, 모바일 앱 등의 ‘플랫폼’을 노리는 다양한 공격을 감행하고 있다.
|
IoT 영역
|
설명
|
IoT 영역별 보안 위협
|
|
IoT 기기
|
센서와 통신 기능이 내장되어 자동으로 데이터를 주고받는 물리적 기기.
와이파이 라우터, 커넥티드카, 스마트 냉장고, 스마트 TV,
다리미 등이 대표적.
|
취약점 발굴 (Vulnerability exploitation)
펌웨어 공격(Firmware Attack)
공급망 공격(Supply Chain Attack)
비인가 기기를 통한 공격
IoT 기기 봇넷화(Botnet enslaving)
|
|
IoT 네트워크
|
기기-기기간, 기기-사용자간 통신을 지원. WiFi, 블루투스(Bluetooth), 지그비(ZigBee), 쓰레드(THREAD)등의 근거리 통신망이 주로 사용되고 있음.
|
스푸핑(Spoofing)
스니핑(Sniffing)
중간자공격(Man-in-the-middle)
|
|
IoT 서비스
|
‘IoT 서비스’를 제공하기 위한 웹사이트, 애플리케이션
및 모바일 애플리케이션.
|
웹 애플리케이션 해킹
비인가 사용자 접속
무차별 대입 공격(brute force attack)
|
■ Internet of Things or Internet of Threats? (사물인터넷인가, 위협인터넷인가? )
이제, 공격자가 실제로 어떻게 공격을 감행하고 있는지 IoT 기기를 이용해 발생한 보안 사고 사례를 분석하며 사고 원인을 짚어보도록 하겠다. 첫 번째로 다룰 내용은 해킹 가능성이 여러 차례 입증된 바 있는 CCTV를 노린 보안 위협이다. CCTV는 방범 순찰, 교통 상황 파악 등의 공공 목적으로 사용되는 것이 일반적이나, 최근 자녀·반려동물 모니터링 등 개인적인 목적을 위해 가정 내 설치하는 홈 CCTV 도입이 증가함에 따라, 민감한 개인 사생활 영상을 노리는 보안 위협이 증가하는 추세다.
우선적으로 문제가 된 것은 CCTV에 심어진 ‘백도어(Backdoor)’이다. 관리자 측에서 네트워크 점검 차 백도어를 심어놓은 백도어, 즉 뒷문을 통해 해당 CCTV가 촬영하는 영상을 원격으로 보거나 제어하는 것이 얼마든지 가능하기 때문이다. 공격자가 이 백도어를 찾아내 개인 영상 유출 등 제조사의 목적과 다른 용도로 악용하는 경우, 제품을 구매한 사용자는 이상 여부를 인지하기 어렵고 이를 알아챘다 할지라도 문제를 스스로 해결하는 것이 거의 불가능하다.
<러시아의 웹캡 해킹사이트 ‘인세캠’에 올라온 보안설정 미흡에 대한 경고문구 /출처: 인세캠 사이트>
물론 보안사고가 제조사의 관리소홀로 인해서만 발생하는 것은 아니다. 사용자의 허술한 보안 인식 역시 사고 원인 중 하나로 지목되고 있다. 많은 사용자가 제품 출시 시 설정된 디폴트 계정과 비밀번호를 그대로 사용하고 있는 만큼, 이 정보를 입력해 정상적인 접속인 양 위장하는 공격도 충분히 발생할 수 있다는 얘기다. 실제로, 2014년 11월, 러시아의 웹캡 해킹사이트 ‘인세캠’은 계정 설정의 중요성을 알리고 싶다며 해킹된 전 세계 7만 3천대의 개인용 CCTV 영상을 실시간 중계해 논란이 되기도 했다.
보안이 전제되지 않는다면, 우리 주변에 있는 다양한 사물 역시 손쉽게 공격의 대상이 될 수 있다. 올해 초 발생한 프린터 해킹 사고가 대표적인 예이다. 세계 곳곳 프린터에서 아스키 코드표(ASCII: 세계 여러 나라에서 통용되는 모든 숫자, 언어, 기호, 특수 문자 등을 컴퓨터에서 표현하기 위해 만들어진 표)를 이용한 로봇 이미지와 해커의 이메일 주소, 해킹에 사용된 포트를 닫으라는 경고문 메시지가 무작위로 출력된 사건이다.
<‘스택오버플로잉(Stackoverflowin)’의 공격으로 인해 무작위로 출력된 이미지와 메시지 /출처: Stephanie Sanchez의 SNS 내용>
본 사건의 배후는 ‘스택오버플로잉’이라는 닉네임의 해커가 IT 관련 포럼운영 사이트인 블리핑 컴퓨터를 통해 자신이 프린터 제어 PCL 및 PJL 프로토콜이 사용하는 9100번 포트를 이용해 인터넷에 연결된 프린터기 15만대를 해킹했다고 주장하면서 밝혀지게 되었다. 이후, 조사를 위해 PRET이라 불리는 프린터 점검 도구를 이용하여 온라인에 연결된 20여개의 주요 브랜드 프린터에 대한 공격을 수행한 결과, 다양한 제조사의 프린터들이 최소 하나 이상의 취약점에 영향을 받고 있었고 일부는 수년 전 공개된 취약점조차 패치하지 않은 취약한 보안 상태였던 것으로 드러났다.
마지막으로 살펴볼 사례는 작년 10월 미 동부 지역 마비 사태를 일으키며 많은 사람들에게 IoT 보안에 대한 경각심을 불러일으킨 ‘미라이 봇넷(Mirai Botnet)’ 분산서비스거부(DDoS) 공격이다. 공격자는 다수의 IoT 기기를 악성코드 ‘미라이(Mirai)’에 감염시켜 DDoS 공격용 봇(Bot) 역할을 하게 만들고, 미국 주요 인터넷 호스팅 서비스업체인 ‘딘(Dyn)’ 서버를 공격함으로써, ‘딘’을 통해 DNS 서비스를 받고 있던 깃허브, 트위터, 레딧, 넷플릭스, 뉴욕타임즈 등의 주요 사이트에 연쇄적인 장애를 발생시켰다.
‘미라이 봇넷’ 공격이 어떻게 성공할 수 있었는지, 공격 시나리오에 대해 조금 더 상세히 알아보도록 하자. 공격자는 CCTV, NAS 등 관리자 계정 관리가 취약한 임베디드 기기의 비지박스(BusyBox) 시스템에 60여개의 기본 계정 암호를 무차별 대입하는 방식으로 악성코드를 감염시킴으로써, 중앙센터의 명령에 따라 DDoS 공격이 가능한 봇넷(Botnet)을 만들었다. 200-400Gbps 급인 기존의 DDoS 공격 규모를 상회하는 500-600Gbps 규모의 공격이 들어온 만큼, 공격에 속수무책으로 당할 수 밖에 없었던 것으로 분석된다.
<미라이 봇넷 공격 시나리오 / 출처: 이글루시큐리티 보안분석팀>
지금까지 IoT 기기를 노린 주요 보안사고의 발생 원인을 알아보았다. 개발 단계에서 보안성 검증이 미흡하거나 초기 설정 그대로인 계정과 포트를 사용하는 등 IoT 기기 제조사/서비스 제공사와 해당 기기/서비스를 사용하는 사용자 모두가 사고의 원인을 제공하고 있음을 확인할 수 있었다. 또한, 악성코드 감염 시 속도가 저하되거나 오작동이 발생하는 증상이 나타나는 PC, 모바일 기기와는 달리, IoT 기기가 감염되는 경우에는 이를 인지하기 어렵고 안다 해도 사용자 스스로가 대응하기 어려워 그 공격 피해가 빠르게 확대될 수 있다는 점에도 반드시 주목해야 할 것으로 보인다.
|
기간
|
구분
|
피해현황
|
발생원인
|
|
2014년 11월
|
해킹된 CCTV 및 IP카메라 영상제공 사이트 발견
|
- 7만 3천개의 CCTV를
해킹하여 실시간으로 보여주는 사이트 공개(국내에 위치한 CCTV
6천개 포함)
|
접근계정
관리미흡
|
|
2015년 9월
|
백도어가 내장된
CCTV 발견
|
- 중국에서 수입된 일부 가정용 CCTV에 제조사가 숨겨놓은
백도어(원격 접속 프로그램) 발견
|
디바이스
취약점
|
|
2016년 9월
|
Mirai Botnet
|
- Telnet, SSH 포트가 오픈되어 있는 IoT 디바이스에 Brute Force(Default ID/Password)를 통해 접근
- HTTP와 TCP, UDP Flood로 세 가지의 공격 유형으로
DDoS 공격 가능
- 메모리 스크래핑, 재부팅 방지기능 탑재
- Mirai Botnet을 이용하여 KrebsonSecurity(2016.09),
OVH Hosting(2016.09), DYN(016.10) DDoS 공격
|
접근계정
관리미흡
|
|
2017년 2월
|
프린터 해킹
|
- 프린터, 포스기(POS)
대상으로 외부 인터넷에서 노출된 프린터를 대상으로 IPP(Internet Printing
Protocol) 포트와 LPD(Line Printer Daemon)포트, 9100포트를 이용하여 ASCII로 묘사된 로봇과 해커의 이메일
주소 등의 경고문 출력
- Stackoverflowin라는 닉네임의 해커는 15만대 이상의 프린터를 해킹했다고
주장
|
기본포트사용/디바이스
취약점
|
|
2017년 3월
|
취약한
WIFICAM 정보 공개
|
- 354개 벤더사에서 1,200개 이상 브랜드로 판매되고 있는
중국 무선 웹캠 버그 공개
- 쇼단(Shodan.io)에서 18만 5천개 이상의 취약한 웹캠 목록 공개
|
디바이스
취약점
|
■ IoT 보안, 기본으로 돌아가 길을 찾아라.
인터넷에 연결된 사물이 실시간으로 상호 소통하는 IoT 기술은 기업 성장을 견인하고 개인의 삶의 질을 향상시키는 핵심 미래 동력이 될 것으로 기대를 모으고 있다. 세계경제포럼 산하 ‘글로벌 어젠다 카운슬(Global Agenda Council)’이 2015년 3월 글로벌 ICT 기술 부문 임원과 전문가 800여명을 대상으로 설문 조사를 실시한 결과에 따르면, 응답자의 대부분에 해당되는 89%의 사람들이 2025년에는 약 1조 개의 센서가 인터넷에 연결되며 가정, 업무 환경부터 사회 기반 시설까지 IoT 기술의 활용 범위가 점차 확장될 것으로 예측한바 있다.
그러나, IoT 기술의 혜택을 안전하게 누리기 위해서는 IoT 생애주기 전반에 걸쳐 보안성이 반드시 뒷받침될 필요가 있다. 앞서 살펴보았던 CCTV, 프린터, 임베디드 기기 해킹 사례에서 확인했듯이 수많은 사용자 및 기기와 연결되어 있는 IoT 기기·서비스가 목적 외의 용도로 악용된다면, PC, 모바일 기기 중심의 IT 환경에서는 상상할 수 없는 전례 없이 막강한 사이버 공격이 발생할 수도 있기 때문이다. 한국인터넷진흥원 역시 작년 말 2017년 발생할 주요 사이버 공격 위협을 전망하며, 좀비화된 IoT 기기가 사이버 무기로 이용될 수 있는 가능성에 대해 우려를 표한 바 있다.
한국인터넷진흥원은 IoT 기기를 개발하는 기업과 이를 이용하는 사용자 모두의 노력이 필요함을 강조하며, 기업과 사용자 관점에서 반드시 조치해야 할 보안 대응 요소를 포함한 ‘IoT 소형 스마트홈 가전 보안 가이드’를 지난 12월 발간했다. 기업 관점에서는 △웹 인터페이스 보안, △인증 및 허가 보안, △네트워크 서비스 보안, △모바일 앱 보안, △펌웨어 보안, △업데이트 보안, △물리적 보안의 필요성이 중요하게 다뤄졌고, 사용자 관점에서는 △패스워드 설정, △암호화 설정, △접근제어 설정, △펌웨어 업데이트의 중요성이 집중적으로 강조되었다.
지금까지 다양한 IoT 보안위협 사례와 이에 대비하기 위한 대응방안에 대해 살펴보았다. IoT는 특정한 제품, 기술의 발전에서 그치는 것이 아니라 우리의 삶 곳곳에 지대한 영향을 미치며 플랫폼의 변화를 견인하고 있다. 따라서, IoT 환경에서 보안성을 확보하기 위해서는 또 다른 보안 위협을 유발할 수 있는 단편적인 보안 기술 적용에서 한 단계 나아가 IoT 생애주기 전반을 아우르는 통합적인 보안 체계를 수립할 필요가 있다. 그리고 이를 위해서는 기업과 사용자 모두의 적극적인 노력이 뒷받침되어야 한다.
IoT는 새로운 기회이자 큰 도전이기도 하다. IoT 기술의 활용 범위가, 가정, 업무 환경부터 사회 기반 시설까지 점차 확장될 것으로 예측되는 만큼, 보안성 확보에 힘을 기울여 IoT 의 혜택을 보다 안전하게 누렸으면 하는 바램이다. 위협 인터넷(Internet of Threat)이 될 것이냐? 사물 인터넷(Internet of Things)이 될 것이냐? 그 열쇠는 기업과 사용자 모두에게 달려있다.
