‘새로운 서비스=새로운 악용통로’ 공식 상용화

[시큐리티월드 주소형] “세상 참 좋아졌다.” 흔하디흔한 이 말에 긴장된다면 여기에 담겨있는 또 다른 의미를 알고 있기 때문이다.

세상 살기 좋아졌다는 말은 즉 새로운 기술 및 서비스가 나왔다는 것이고 이는 바로 새로운 위협요소로 직결된다는 것.

실제로 냉장고가, 자동차가, 시계가, 전화기가, 카메라가 우리를 위험한 상황에 놓이게 하고 있다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	숨 막히는 긴장감

사용자 입장에서는 좀 더 편해지고자, 개발자 입장에서는 차별화된 경쟁력을 갖고자, 본래의 기능에 점점 SCADA 시스템이나 RCS 등과 같은 부가 기능들을 탑재시키면서 초래된 일이다. 그리고 이는 사용자와 개발자의 외에 공격자에게까지 인기를 얻고 있다.

요즘 종류를 막론하고 신제품이 출시되면 마케팅부서나 세일즈부서 외에 바쁜 부서가 있다. 바로 안전보안 관련 부서다. 새로운 제품이 언론에 알려지자마자 아니 어떤 경우는 출시 전부터 공격자들의 타깃이 되어 버린다. 그들도 새로운 무언가가 나오기만을 기다리고 있는 듯하다. 아무래도 새로운 악용통로를 발견하기에 각종 위협에 숙련된 기존의 제품들보다는 신제품들이 용이할 수 있기 때문이다.

상황이 이렇다보니 요즘 새로운 기능이 탑재된 제품이라면 적어도 한 번 이상은 홍역을 겪는 것이 통과의례가 되는 분위기다. 그리고 이는 고스란히 사용자들의 안전과 연결되고 있다. 이에 융·복합 제품 사용자들 사이에서는 가장 첫 번째 버전의 제품은 사지 말라는 말까지 나올 정도다.

그들의 공통된 원리가 있다. 바로 원격감시 제어시스템 또는 감시 제어 데이터 수집시스템인 SCADA 시스템 및 RCS다. 이들을 탑재시킴으로서 본래 보유하고 있는 기능들이 극대화되고 완전히 새로워 보이는 제품이 탄생된다. 이렇게 다양한 SCADA 시스템 및 RCS가 생활에 사용하고 있는 제품들에 강림하면서 우리의 삶은 너무 편해졌고 동시에 위험해지고 있다.

그런데 이런 현상은 국내보다는 해외에서 한 발짝 먼저 일어나곤 한다. CCTV만 해도 국내에서는 홈 CCTV로 통용되어 사용되고 있는데 반해 해외에서는 베이비 캠이나 펫 캠 등으로 좀 더 용도를 세분화시켜 사용하고 있고 주로 신제품은 해외에서 먼저 출시되는 경우가 많기 때문이다.

특히 악용 시 성범죄나 빈집털이 등과 같은 물리적인 위협으로 바로 작용될 수 있는 신체 활동을 모니터링 하는 제품들은 국내보다는 해외에서 먼저 상용화 및 보편화되어 있기도 하다. 따라서 글로벌 시장의 움직임을 들여다보면 간접적이지만 좀 더 관련 위험성이나 기능 등에 대한 대비책을 조금 빨리 강구할 수 있다.

1. “현대의 자동차들에는 전자 제어 유닛이 100개가 넘게 들어간다. 그리고 이 부품 대부분이 트로이목마나 버퍼 오버플로우 오류 등 인터넷 세상에서 흔히 일어나는 취약점과 해킹에 노출되어 있는 게 당면한 현실이다. 와이파이나 셀룰러 네트워크를 통해 바깥세상과 통신을 하는 자동차라면 결국 해커들 눈에는 PC 혹은 모바일이나 다름없다는 것이다.”

- 9월에 새롭게 출범한 인텔의 자동차보안감사위원회

2. “신체의 활동을 모니터링하고 그 정보를 분석하여 건강에 도움이 될 수 있도록 사용자에게 제공하는 제품들은 특별한 관리가 필요하다. 일반 사용자의 접근이 이루어지는 속성의 서비스 업체의 경우는 특히나 트래픽과 정보의 사용에 대한 활동들을 늘 주시해야 한다. 그저 지켜보는 게 아니라 공격자의 입장에서 여러 침투 경로를 상상해보고 가능하다면 실험해보는 자세를 갖춰야 한다.”

- 태너블(Tenable)의 마케팅 수석 매니저인 테드 게리(Ted Gary)

3. “삼성전자에서 제조 및 판매하는 안드로이드 웨어 스마트워치인 기어 라이브(Gear Live)를 직접 전수 점검해보니 여기에 탑재되어 있는 동작 센서(motion sensor)가 보안의 구멍이 되어 사용자의 개인정보가 유출되는 등 해킹의 통로로 악용될 가능성이 상당히 농후하다. 애플 워치는 아직 직접 분석해보지 않았지만 원리 자체는 삼성의 스마트워치와 비슷하기 때문에 같은 위험에 처해 있을 것이다. 스마트워치에 열광하는 학생들을 보면 상당히 우려된다.”

- 미국 일리노이 대학교(University of Illinois)의 전자 및 컴퓨터 공학과의 로밋 로이 차우드허리(Romit Roy Choudhury) 부교수

4. “스마트 냉장고가 해킹의 통로가 된다는 사실이 드러났다. 특히 삼성의 스마트 냉장고에 있는 보안 취약점으로 인해 중간자 공격(man-in-the-middle)이 가능하다는 것이 증명됐고 이를 결국 사용자의 지메일(gmail) 계정으로까지 접근이 가능해져 개인정보 유출로 이어질 수 있다. 얼마 전에는 스마트TV에 들어가는 음성 녹음(voice recording)을 암호화를 제대로 시키지 않아 논란이 된 바 있는데 아직까지 홈 오토메이션의 보안은 상당히 위험한 상황이다.”

- 영국의 펜 테스트 파트너스(Pen Test Partners)

5. “현재 유행하고 있는 베이비 카메라 9대를 실제로 구입하여 분석해 본 결과 상당히 위험하다. 9개에 대한 보안등급을 매겨보니, 8개가 ‘F’를 받았고, 1개는 ‘D-’로 판정 났다. 그 정도로 해당 카메라들의 네트워크상의 보안이 취약한 상황으로 해킹이 매우 쉽다. 베이비 캠을 통해 그 집안 전체를 파악하고 범죄로 이어질 수 있다.”

- 라피드 7(Rapid 7)이 최근 발표한 보고서

6. “TSA라는 브랜드의 가방을 전부 열 수 있게 해주는 마스터키의 3D 프린트 방법이 요즘 인터넷에 돌아다니고 있다. 3D를 악용한 범죄가 점점 우리 코앞으로 다가오고 있다.”

- 영국 IT 관련 미디어인 더 레지스터(The Register)

[글 시큐리티월드 주소형 기자(sw@infothe.com)]

<저작권자 : (http://www.securityworldmag.co.kr) 무단전재-재배포금지>