대중화되고 있는 사물인터넷 기기 10개 면밀히 조사

다면성으로 대표되는 사물인터넷, 문제 역시 다각도에서 풀어야

[보안뉴스 문가용] HP 포티파이(HP Fortify)에서 인기가 많고 시중에 널리 팔리고 있는 사물인터넷 기기를 대상으로 실시한 연구조사 결과 총 250가지의 취약점을 발견했다. 게다가 대다수가 원격 조정을 가능하게 하거나 하트블리드에 노출되어 있고, 디도스나 XCC에 취약한 상태 등 굉장히 치명적이기까지 한 것으로 드러났다.

이번 프로젝트를 이끈 HP 포티파이의 다니엘 미슬러(Daniel Miessler) 씨는 “지난 몇 년 동안 알려진 사물인터넷 기기의 취약점들은 단발성 이슈나 그냥 입소문에 가까웠습니다”라며 “아직 한 번도 제대로 된 연구나 조사를 했다는 소식은 없었던 것이죠. 그러니 소문은 무성한데 그 규모나 심각성이 어느 정도인지 아무도 정확히는 몰랐습니다”라고 이번 조사에 대한 동기를 밝혔다.

미슬러 씨는 우선 사물인터넷 기기가 가진 차별성이 무엇인지를 설명했다. “바로 그 특유의 다면성입니다. 사물인터넷 기기에 포함된 요소들을 생각해보세요. 기기 그 자체는 물론, 네트워크, 인증, 인터넷 요소 등이 있습니다. 이런 것들이 모두 조화되어야 비로소 사물인터넷을 구현할 수 있는 것이죠. 이런 큰 그림을 먼저 이해하는 것이 중요합니다.”

미슬러 씨는 10가지 사물인터넷 기기를 선정해 이번 조사를 실시했다. 여기에는 웹캠, 가정용 온도 조절 장치, 스프링클러 조정 장치, 가정용 알람, 차고문 개폐 장치 등이 포함되었다. 그리고 조사 결과, 기기 당 평균 25개의 취약점을 가지고 있는 것이 드러났다.

게다가 10개 중 7개는 클라우드 및 모바일 애플리케이션과 결합했을 경우 해커가 목록화(enumeration)를 통해 유효한 사용자 계정에 접근할 수 있게 된다. 또, 9개는 적어도 한 개의 개인정보를 해커에게 유출시켰으며 6개에서는 사용자 인터페이스가 XSS 등의 웹 취약점에도 노출되어 있는 것으로 밝혀졌다.

“한 개의 기기에서는 로그인을 한 다음 기기의 루트에까지 접근이 가능해졌습니다. 슈퍼유저가 될 수 있었던 것이죠. 거기서부터 내부 네트워크에 접속해서 여러 가지 명령을 내리는 것도 가능했음을 확인했습니다.” 미슬러 씨의 설명이다.

물론 사물인터넷 기기 대부분은 ‘가정용’이고 따라서 일반 소비자를 대상으로 한다. 그럼에도 기업들에게 치명적으로 작용할 수 있다. “가정용 기기라고 해서 가정에서만 쓰이지 않거든요. TV, 웹캠, 가정용 온도 조절 장치 등 사무실에서도 얼마든지 활용할 수 있는 기기들입니다. 실제 많은 업체들이 저희에게 이런 장치들이 얼마나 안전한지 문의하고 있기도 하고요.”

게다가 가정용 기기가 있으면 당연히 기업용 기기도 있다. 결국 이번 조사로 그는 업체들에게 경종을 울리고 싶었다고. “사물인터넷을 도입하는 거, 좋습니다. 하지만 그 전에 다양한 실험을 거쳐야 할 필요가 있습니다. 그 점을 알리고 싶었습니다.”

설명이 이어졌다. “클라우드니 모바일만의 문제가 아닙니다. 그런만큼 기기만의 결함이 아니라는 것이죠. 사물인터넷이 그 특성상 다면성을 내포하고 있는 것처럼 사물인터넷 기기의 문제 역시 다면성을 내포하고 있습니다. 즉 여러 각도에서 문제를 찾아내고, 또 여러 각도에서 해결해야 한다는 것입니다. 그냥 전파사에 수리 맡기는 개념은 더 이상 통용되지 않을 것입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>