• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사물인터넷 시대, 보안 취약한 제품 셋 2015.04.15

베라코드에서 여러 사물인터넷 기기 실험해봤더니

아직 생산하기에만 급급한 시장 분위기, 보안은 늘 사후문제 취급


[보안뉴스 문가용] 바야흐로 사물인터넷 시대가 열리고 있다. 이제 평범한 가정생활을 하는 데에 있어서도 인터넷 기능이 포함된 기기들이 대세가 되고 있다. 그렇지 않은 기기들보다 편리하고, 운영비도 싸고, 재미 요소도 더 많기 때문이다. 그러나 이런 모든 좋은 것들이 공짜로 오지 않는다. 리스크라는 값을 우리도 모르게 지불한 것이다.

 


최근 인기가 높아지는 사물인터넷 기기를 위주로 리스크 평가 조사를 한 베라코드(Veracode)에서 조사결과를 보고서 형태로 발간했다. “새로운 핸드폰만 나와도 매체와 광고 시장이 들썩이는 때입니다. 사물인터넷 기기들의 등장은 이런 사람들의 반응을 훨씬 더 자극하죠. 개발자들이나 제조사들이 이런 열렬한 반응을 놓칠 리가 없습니다. 얼른 생산하고 얼른 시장에 내놔서 얼른 수익을 거둬들여야겠죠. 사이버 보안이 이런 흐름에 방해가 되지 않게 개입해야 하는데, 그게 꼭 불가능하지만은 않습니다.” 베라코드의 보안 설계 전문가인 브랜든 크레이튼(Brandon Creighton)의 설명이다.


“사물인터넷 기기에서의 사이버 보안은 기기 하나만을 보는 게 아니라 기기와 연결된 네트워크, 웹, 애플리케이션, 백엔드 클라우드 등까지 아울러야 합니다. 전체를 조망하는 시야가 중요하다는 것이죠. 그리고 이 요소 하나하나가 전부 ‘안전해야’ 비로소 사물인터넷 기기가 안전하다고 말 할 수 있습니다. 보안은 제품 내놓고 해도 되는 패치나 애드온이 아닙니다. 사고가 발생해야만 가치를 발휘하는 것도 아닙니다.”


베라코드가 조사 및 실험 대상으로 삼은 사물인터넷 기기에는 세 가지 공통점이 있다. 특별한 기술 지식이나 배경이 없어도 사용이 가능하다는 마케팅 전략을 가지고 있다는 것, 항상 전원이 켜있어서 인터넷과 24시간 연결되어 있다는 것, 물리적인 환경 혹은 다른 사물인터넷 기기와의 상호작용이 발생한다는 것이 바로 그것이다.


실험은 모든 기기에서 동일하게 이루어졌고, 인증 과정, 암호화, 프로토콜 보안 등이 주요 실험항목이었다. 그리고 원격 임의 코드 실행, 프로토콜 내의 취약점으로 인한 민감한 정보 노출, 암호 생성 과정의 허술함 등이 드러났다. 여러 가지 기기들 중에 다음 세 가지 기기가 특히 심각한 문제를 야기할 수 있어서 여기에 그 결과를 싣는다.


마이큐 가라지(MyQ Garage)

마이큐 가라지는 아주 멀리서 인터넷을 통해 차고 문을 제어하는 장치로 암호 생성 과정이 무척이나 허술하다. 또한 디버깅 환경이 전혀 보호받고 있지 못하며 기기와 모바일 애플리케이션 사이의 민감한 정보를 보호하지도 않는다. 중간자 공격에 특히 취약하며 차고 문이 언제 열리고 닫히는지에 대한 정보까지도 훔쳐가는 게 가능하다고 한다. 즉 물리적인 침입까지도 가능케 한다는 의미다. 혹은 아예 제어권까지도 해킹하는 게 가능하기 때문에 사실상 마음만 먹으면 아무 때나 차고 문을 열고 들어갈 수 있다.


유비(Ubi)

유비는 항시 ‘온’ 되어 있는 기기로 자동응답 기능, 가정자동화 기기들과 연결해서 문자를 보낸다든가 음악을 켠다든가 하는 기능을 가지고 있다. 문제는 중간자 공격에 어떠한 방비책도 없다는 것. 이는 가동되고 있지 않을 때와 가동되고 있을 때 모두의 암호화 과정에 취약점이 있으며 재전송 공격에도 취약하기 때문이다. 유비의 계정 하나만 탈취해도 연락처 정보와 구글 캘린더 정보에 닿을 수 있으며 그러므로 스파이 행위가 가능해진다. 또한 가정자동화와 밀접한 관계가 있는 것이다보니 마이큐와 마찬가지로 이를 통한 물리적 침입도 가능하다. 가정의 온도, 습도, 기압, 주변광, 소리 크기 등의 정보수집이 간단히 해결될 수 있기 때문이다.


윙크 릴레이(Wink Relay)

가정자동화 센서 및 기기들의 허브이면서 제어기인 윙크 릴레이에는 꽤나 많은 오류가 있는데, 이중 가장 치명적인 것은 원격 임의 코드 실행을 가능하게 해준다는 것이다. 즉 해커들은 사용자의 활동에 대한 정보를 수집하는 것뿐만 아니라 아예 이 기기를 원격에서 제어할 수 있게 된다는 의미다. 마이크로폰을 켜서 도청을 하고 대화를 녹음하며 이를 기반으로 협박 메일을 보내거나 사업 스파이 노릇을 할 수 있게 된다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>