| 사물인터넷 보안, 이제는 위험성을 돌아봐야할 때! | 2015.06.02 | ||
IoT 디바이스의 보안성 향상법 \r\n
[시큐리티월드 손장군 엔시큐어 이사] 최근 사물인터넷(Internet of Things- 이하 IoT)이라는 용어는 인터넷, SNS, 각종 매체를 통해 흔히 들을 수 있는 용어가 되었다. IoT란 TV, 냉장고, CCTV, 헬스케어 제품 등 각종 전자기기들에 부착된 센서, 임베디드 애플리케이션 등을 통해 수집된 정보를 인터넷을 통해 공유하고 자동으로 제어하는 시스템을 뜻한다. 가전, 자동차, 집은 물론 농업, 의료, 공장 등 각 산업영역에서 모든 사물이 네트워크에 연결, 자동 제어하는 시스템을 의미한다. \r\n\r\n \r\n TV와 같은 가전, 또는 보일러가 인터넷에 연결되어 사람과 상호 작용을 하며, 단순히 가전제품을 넘어 자동차까지 인터넷에 연결되어 사용자와 교감하는 시대가 열리고 있다. 얼마 전 까지만 해도 SF영화에만 등장 할것만 같던 이러한 기술 들이 어느덧 우리 생활 깊숙이 자리 잡아 가고 있다. \r\nIoT, 냉장고가 디도스 공격하는 시대 열어 \r\n가트너의 2013년도 리포트(Gartner Internet of Things Report 2013, www.gartner.com/newsroom/id/2905717)에 의하면 2020년이면 250억 개의 IoT 디바이스가 출시되며, 1.9조 달러의 경제효과가 기대된다고 밝혔다. 이러한 경제적인 영향력 탓인지, 기업들은 앞다투어 IoT디바이스의 출시에 경쟁적으로 뛰어 들고 있다. \r\n그렇다면 해커의 입장에서는 IoT시장은 어떠할까? 전통적으로 시스템이 존재 하면서부터 해커도 동시에 존재 해왔다. 과거의 해커들은 단순 기술적인 만족도 또는 과시를 위해 해킹을 하곤 했지만, 최근의 경향은 해킹이 돈을 벌어 줄 수 있는 탓에 영리를 위한 해커 또는 해킹을 전문으로 하는 범죄 집단들이 활동하고 있는 실정이다. \r\n당연히 IoT 분야도 해커 입장에서 수익을 창출할 수 있는 커다란 시장이다. 더군다나 기존의 기업서비스처럼 대체로 보안으로 잘 무장된 인프라 기반에서 서비스 되는 것이 아닌, 보안과는 무관할 것으로 생각되어 왔던 가정의 인터넷과 연결되어 서비스되고 있으니 기존의 기업 서비스에 비해 상대적으로 손쉽게 공격을 대량으로 감행할 수 있지 않을까? TV가 스팸 메일을 발송하고 냉장고가 디도스 공격을 하는 시대가 도래한 것이다. \r\n실제로 모 매체가 보도한 내용에 의하면, TV와 냉장고 같은 가전제품이 대규모 스팸과 피싱 메일을 보낸 사례가 발견 되었다고 한다. 해커들이 인터넷과 연결된 가정의 스마트 TV와 냉장고를 ‘좀비 가전’으로 만든 뒤 스팸 메일과 피싱 메일을 보낸 것이다. 해당 매체가 전한 미국 캘리포니아에 본사를 둔 보안 서비스 업체의 발표 내용에 따르면 ‘2014년 말부터 2015년 초까지 전 세계에서 75만 건의 피싱과 스팸메일이 TV와 냉장고 등을 통해 발송됐다’고 한다. \r\n성장과 비례되는 해킹 위협 \r\n뿐만 아니다. 2015년 2월 미국 상원의원 Markey의 ‘16개의 차량 및 제조사에 대한 자동차 보안 진단 조사 보고서’에 따르면, 조사에 사용된 100% 가까운 자동차들이 취약점을 이용한 해킹을 통해 개인정보에 접근할 수 있는 무선 기술을 사용하고 있으며, 자동차에 무단으로 원격접속 하는 것을 방지하기 위한 보안 조치는 일관성 없이 구현되어 있고, 자동차 제조업체는 방대한 양의 주행기록과 차량의 주행 성능관련 데이터를 수집 하고 있다고 한다. 조금 무서운 이야기지만, 특정 인물에게 위해를 가하기 위한 범죄 조직이 인터넷과 연결된 자동차를 타깃으로 범죄를 저지르는 세상이 올 수도 있다는 이야기가 된다. \r\n또 다른 사례를 살펴보면, 2014년 1월 Google에 의해 인수된 네스트랩스(Nest Labs)의 스마트 온도조절장치는 미국 센트럴 플로리다 대학의 다니엘 부엔텔로(Daniel Buentello)에 의해 해킹됐다. 그는 USB 케이블을 사용해 단 15초 만에 네스트 스마트 온도조절기의 루트(Root) 권한을 획득했다. 그는 하드웨어/소프트웨어/펌웨어 아키텍처, 부트 프로세스를 분석 후 USB를 통해 메모리상에 코드 인젝션 후 백도어를 설치했다고 한다. \r\n2014년 9월에 발표된 HP의 IoT 보안 현황 조사 보고서에 따르면 60%의 디바이스/모바일 앱/클라우드 웹서비스가 XSS 공격에 취약하고, 부적절한 세션 관리 취약점을 가지고 있다. 또, 기본 사용자 ID를 사용해 80%의 디바이스/모바일 앱/클라우드가 부적절한 패스워드를 관리하고 있고, 70%의 디바이스/모바일 앱/클라우드가 유효 사용자 ID 확보가 가능(User Enumeration) 가능하다고 한다. 게다가 70%의 디바이스가 인터넷 통신 시 안전한 암호화 통신을 사용하지 않으며, 80%의 디바이스/모바일 앱/클라우드가 이름, 주소, 생년월일, 건강정보, 신용카드번호 등의 개인정보 관리에 소홀, 보관 시 암호화 미적용으로 해킹 위험성이 있다. 90% 이상의 디바이스가 최소 한 가지 이상의 개인정보 요구하고 있으며, 60%의 클라우드로부터 디바이스 소프트웨어/펌웨어 업데이트 다운로드 시 암호화 채널 미사용으로 이를 중간 가로채기, 리눅스 파일 시스템에 마운트 후 소프트웨어/펌웨어 조작이 가능하다. \r\n또한, 2015년 2월 IoT 홈 보안 시스템을 대상으로 2차 실시된 보고서에 의하면, 70%의 클라우드 웹 인터페이스가 사용자 계정 외부 유출 보안취약점 보유, 사용자 계정 잠김 기능 미보유 등의 문제를 드러냈다. 또한, 100%의 디바이스/모바일 앱/클라우드가 취약한 패스워드 관리(복잡도, 길이)를 보였으며, 안전하지 않은 패스워드 복원 메커니즘, 사용자 계정 관리 보안 취약점을 보유한 것으로 드러났다. 게다가 100%의 디바이스/모바일 앱/클라우드가 이름, 주소, 생년월일, 건강정보, 신용카드 번호수집 및 관리 소홀과 비디오 동영상 유출 위험이 있는 것으로 알려졌다. 50%의 모바일 애플리케이션이 인터페이스 사용자 계정 외부 유출 보안취약점 보유하고 있으며, 60%의 클라우드로부터 디바이스 소프트웨어/펌웨어 업데이트 다운로드 시 암호화 채널 미사용으로 이를 중간 가로채기가 가능했다. 리눅스 파일 시스템에 마운트 후 소프트웨어/펌웨어 조작이 가능했으며, 일부 디바이스는 SSL/TLS POODLE 보안 취약점까지 보였다. 또한, 10%만 이중 인증(Two-Factor Authentication)을 사용하고 있으며, 10%만이 Apple Touch ID(인증위해 지문 사용)를 사용하고 있다. \r\n\r\n \r\n IoT 보안성 확보위한 다양한 움직임 \r\n이러한 조사 결과는 예상을 뛰어 넘어 IoT 디바이스들이 보안에 취약하다는 점에서 주목할 만하다. 이는 IoT를 제조하는 회사들이 전통적으로 보안에 덜 신경 쓰는 산업군이었기 때문이며, 최근의 이러한 보안 문제들이 대두됨으로써 국내를 비롯한 해외에서도 IoT의 보안성을 확보하기 위한 다양한 움직임을 보이고 있다. \r\n미국 연방(공정)거래위원회는 IoT의 보안성 확보를 위해 IoT 제조사는 제품 설계시에 보안을 고려하도록 가이드하고 있다. 또한 관련 보안 단체들도 발 빠르게 IoT 보안에 대한 가이드라인을 출시하고 있다. 대표적인 곳이 애플리케이션 보안과 관련된 다양한 활동과 연구성과를 발표하고 있는 OWASP(Open Web Application Security Project, www.owasp.org)는 IoT와 관련하여 두 가지 Top10 프로젝트를 진행 하고 있다. \r\n첫 번째가 ‘OWASP Internet of Things Top 10 Project’로 IoT 플랫폼 전반에 걸쳐 중요한 보안 이슈를 10가지 카테고리로 분류·정리해, IoT 제조사/개발자/소비자를 위한 보안 참고 기준으로 활용할 수 있다는 점이다(www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project). \r\n또 다른 하나는 ‘OWASP Mobile Top 10 Project’로 이는 IoT 디바이스와의 연결통로 역할을 하고 있는 모바일 응용 프로그램에서 소프트웨어 위험을 완화하기 위한 오픈 응용 프로그램 보안 지침이다. 이는 모바일 앱에 대한 개발/도입/운영 시 보안 지침으로 활용할 수 있다(www.owasp.org/index.php/OWASP_Mobile_Security_Project). \r\nIoT 플랫폼 구성요소가 갖춰야할 보안기줄 마련 필요 \r\nIoT는 소비자에게는 새로운 제품/서비스 소개, 생산자에게는 막대한 비즈니스 기회 그리고 공격자에게는 새로운 보안 취약점을 지닌 공격 대상이자 정보유출을 위한 공격 경유지가 된 것이다. 가령 이와 같은 해킹 시나리오가 현실로 다가 왔다는 것이다. “회사기밀 유출 조사결과 당신이 집에서 사용 중인 IP가 공격 경유지로 활용되었고, 그 시작은 해킹당한 당신 집에 있는 스마트 냉장고였습니다.” \r\n사물인터넷 디바이스 제조사와 서비스 사업자는 다음과 같은 권고를 따라 보안성을 확보해야할 것이다. 무엇보다 IoT 플랫폼 애플리케이션 전반에 걸친 보안진단을 수행해야 한다. IoT 플랫폼 구성요소 IoT 디바이스, 게이트웨어(모바일 디바이스), 클라우드 백엔드 시스템에 대한 전반적인 보안 진단 수행(OWASP Internet Of Things Top 10, OWASP Mobile Top 10 기준)과 현황을 확보해야 한다. \r\n또한, IoT 제품 출시/업데이트, 운영 시스템으로 이관 전 IoT 플랫폼 구성요소가 갖춰야 할 필수 보안기준 마련과 이를 시행(IoT Security Gate 수립)해야 할 것이다. 마지막으로 IoT 플랫폼 상의 애플리케이션 구성요소의 개발주기 전반에 걸친 보안으로 IoT Security Gate를 확대해야 할 것이다. [글 : 손장군 엔시큐어 이사] \r\n[월간 시큐리티월드 통권 221호 (sw@infothe.com)] \r\n<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지> \r\n |
|||
 |
