생명과도 직결, 디바이스 표준 등 보안 정책 확립해야
[컴퓨터월드] IoT가 새로운 산업발전의 주역으로 떠오르면서 관련 기기들이 쏟아지고 있다. 이전에는 상상하지 못했던 다양한 기기들이 인터넷에 연결되고 있는 것이다. 가트너는 2020년까지 208억 개의 사물이 인터넷에 연결될 것으로 전망하고 있다. 디바이스 시장규모는 총 3조 달러까지 성장할 것으로 보았다.
IoT가 떠오르며 IoT기기들의 보안 위협 또한 커지고 있다. 특히 리소스가 적은 IoT기기들의 경우 기존 백신과 같은 보안 솔루션 탑재가 어렵고 개인사용자들의 보안의식이 부족한 경우가 많아 우려된다.
IoT 기기 수요는 증가, 사용자 보안수준은 낮아
많은 전문가들은 IoT가 확산될수록 이에 비례해 보안 위협이 증가할 것으로 보고 있다. 실제 IoT 기기를 이용하는 공격은 점점 더 지능화되면서 그 양 또한 많아지고 있다.
가트너에 따르면 매일 약 550만 개의 기기가 인터넷에 연결되고 있다. 세계경제포럼 산하 ‘글로벌 어젠다 카운슬(Global Agenda Council)’은 글로벌 ICT 기술 부문 임원과 전문가 800여 명을 대상으로 진행한 설문 조사결과를 들어, 2025년에는 약 1조 개의 센서가 인터넷에 연결되며 가정, 업무 환경부터 사회 기반 시설까지 IoT 기술의 활용 범위가 크게 확대될 것으로 예측했다.
지난해 10월 DNS서비스 기업 딘(Dyn)에 대규모 DDoS공격이 가해졌다. 이에 트위터, 뉴욕타임즈, 페이팔, 레딧, 넷플릭스, 스포티파이 등 미국의 유명 인터넷서비스와 정부기관의 웹사이트가 접속장애를 일으켰다.
이는 ‘미라이(Mirai)’ 봇넷에 감염된 IoT기기들이 공격자의 명령에 따라 DDoS공격을 행하는공격용 봇(Bot)의 역할을 수행했기 때문이었다. 공격자는 CCTV, NAS 등 관리자 계정 관리가 취약한 기기의 시스템에 60여 개의 계정 암호를 무차별 대입하는 방식으로 악성코드를 감염시켰다. 레벨3커뮤니케이션은 공격직후 보고서를 통해 약 49만 3천 대의 기기가 미라이에 감염됐다고 발표했다. 약 49만 대의 기기들은 기존 200-400Gbps 급인 기존 DDoS 공격 규모를 상회하는 약 600Gbps 이상의 규모로 서버를 공격했던 것으로 나타났다.
미라이에 감염된 기기들은 인터넷을 통해 무작위로 열린 텔넷 포트가 있으며, 기본 인증 정보를 사용하는 디바이스를 검색한 후 좀비로 감염시킨 것으로 분석됐다. 감염된 디바이스는 또 다시 검색을 통해 더 많은 대상을 찾아 나서게 된다.
지난해 10월 1일 미라이의 악성코드가 공개되며 감염 기기 역시 폭발적으로 늘어나고 있다. 공격자들은 미라이의 코드를 응용한 새로운 변종 악성코드를 개발, 앞으로도 이러한 공격은 계속될 것으로 보인다. 실제 지난해 12월에는 릿(Leet) 봇넷이 미라이를 상회하는 초당 650Gbps의 공격을 수행하기도 했다.
이러한 공격은 대부분 관리자나 소유자가 관리자 계정 등을 제대로 관리하지 않았기 때문이다. 미라이 봇넷 역시 자주 사용하는 비밀번호(admin, root, 123456, 12345, ubnt, password, test 등)를 이용해 공격을 진행했다.
특히 개인사용자의 경우 보안에 대해 알지 못하거나 번거롭다는 이유로 기본적인 비밀번호조차 바꾸지 않고 사용하고 있는 경우가 많아 인식 개선이 시급하다.
보안 위협, 개인 넘어 기업으로
비단 사용자의 기기가 공격에 활용되는 것 이외에도 사용자의 허술한 보안 인식은 많은 위험을 품고 있다. 2014년 11월, 러시아의 웹캡 해킹사이트 ‘인세캠’은 계정 설정의 중요성을 알리고 싶다며 해킹된 전 세계 7만 3천 대의 개인용 CCTV 영상을 실시간 중계해 논란이 됐다. 이어 올해 3월 쇼단(Shodan.io)은 18만 5천 개 이상의 취약한 웹캠 목록을 공개하기도 했다.
인터넷에 직접 연결되는 웹캠/와이파이캠 등의 개인용 CCTV는 많은 업체들이 제품을 내놓고 있다. 이들 제조업체 중 특히 영세 제조사의 경우 보안에 상대적으로 취약한 경우가 많아 주의가 요구된다. 자칫 개인의 사생활이 유출되거나, 절도 대상을 물색하는 데 사용될 수 있어 재산 및 생명에 위협이 될 수 있다.
관리자 측에서 네트워크 점검 차 백도어를 심어놓은 경우, 백도어를 통해 해당 CCTV가 촬영하는 영상을 원격으로 보거나 제어하는 것이 얼마든지 가능하기 때문에, 공격자는 이를 노리고 접근하곤 한다. 개인 영상 유출 등 제조사의 목적과 다른 용도로 악용하는 경우, 제품을 구매한 사용자는 이상 여부를 인지하기 어렵고 인지하더라도 문제를 스스로 해결하는 것이 거의 불가능하다.
이러한 위협은 비단 개인에게만 해당하는 것은 아니다. 기업 역시 IoT기기로 인한 다양한 위협에 직면해 있다. 대표적인 예가 스마트팩토리다. 스마트팩토리는 기존에 버려지던 수많은 데이터를 수집하고 이를 분석하는 것이 중요하다. IoT기기에 장착된 센서의 각종 데이터가 위변조 및 탈취 위험이 있으며, 출력을 위한 기기가 도면정보를 캐시에 남겨두는 경우에도 기업 정보가 새어나갈 위험이 있다.
KT-KISA, 홈IoT 중소협력사 보안역량 강화 지원 협력
|
다양한 기기가 대량으로…IoT 공격 위협 높아져
많은 IoT 기기 제조사들 및 관련 서비스 제공자들은 IoT가 확산될수록 보안 위협이 증가할 것이라는 데 동의하고 있다. 그럼에도 구체적인 보안 전략 마련에는 어려움을 겪고 있는 것이 현실이다.
IoT기기의 리소스가 적어 백신이나 특정 보안 솔루션을 탑재하기 어려우며, 보안 취약점이 발견되더라도 쉽게 패치하기 어렵기 때문이다. 단순한 센서부터 복잡한 컴퓨팅 기기까지 다양한 이기종 기기가 다양한 생산자에 의해 생산돼 표준 마련이 어려운 이유도 있다. 이러한 여러 기기들이 상호 연결돼 공격자가 노릴 침투경로와 공격방법 또한 다양화됐다.
이에 관련, 기관 및 업계 전문가들은 IoT 보안을 기존 보안과 시작부터 달리 접근해야 한다고 언급한다. IoT 기기를 보호하고 기기간 통신 시 탈취·위변조를 막는 암호화, 기기와 통신 인증을 위한 인증과 키관리, IoT 소프트웨어 취약점 제거 등 IoT 보안을 위한 다양한 기술이 제기되고 있다.
한국인터넷진흥원(KISA)은 ‘2017 산업체가 주목해야 할 정보보호 10대 기술’ 중 하나로 하드웨어 기반 단말보안 기술을 꼽았다. KISA는 IoT 디바이스를 위한 보안 요구 사항으로 전송 데이터 암호화, 데이터 무결성, 플랫폼 무결성, 시큐어 부팅, 소프트웨어 안정성, 접근제어, 사용자 인증, 기기 인증, 비밀번호 관리, 상호 인증, 권한 제어, 식별 정보 검증 등을 꼽았다.
관계자들은 이처럼 다양한 이기종 네트워크 환경에 적용 가능하고 종류와 기능이 다른 IoT 기기들에 적용 가능한 보안을 위해서는 기기-네트워크-애플리케이션을 아우르는 모든 구성요소의 설계단계부터 내재화된 보안을 적용해야 한다고 강조하고 있다.
IoT 보안 표준 마련해야
미래창조과학부는 ▲정보보호와 프라이버시 강화를 고려한 IoT 제품 및 서비스 설계 ▲안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증 ▲안전한 초기 보안 설정 방안 제공 ▲보안 프로토콜 준수 및 안전한 파라미터 설정 ▲IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행 ▲안전한 운영 및 관리를 위한 정보보호 및 프라이버시 관리체계 마련 ▲IoT 침해사고 대응 체계 및 책임 추적성 확보 방안 마련 등을 골자로 하는 ‘IoT 공통 보안원칙’을 공개했다.
IoT 국제 표준을 정립하기 위한 시도 역시 지속적으로 진행 중이다. 인텔, HP, IBM, MS에 의해 설립된 TCG(Trusted Computing Group)는 신뢰할 수 있는 컴퓨팅 플랫폼 표준화를 추진하고 있으며 TPM(Trusted Platform Module)이라는 하드웨어 칩 기반 암호화 처리 모듈 표준을 개발하고 있다.
일본 정부 역시 인터넷에 연결되는 가전제품과 기타 장비에 대한 보안 인증 시스템 도입을 추진한다. 일본 총무성은 소비자가 IoT 기기 보안을 판단할 수 있는 인증 마크를 개발, 오는 2018년 도입한다는 방침이다. IoT 기기가 안전한지 아닌지 여부를 소비자가 쉽게 판단할 수 있도록 돕자는 취지다.
컨슈머리포트 역시 제품 평가 시 보안성을 검토하는 방안을 추진하고 있다. 데이터 보안과 개인정보 보호 관점에서 제품을 평가하고, 기업이 안전한 제품을 만들 수 있게 하고자 새로운 테스트 표준을 제시한다는 방침이다. 컨슈머리포트는 제품의 안전성, 소비자 개인정보 활용 여부,주요 권한 남용 여부, 개인정보 관리 방안 마련 여부 등 기준을 마련하고 보안 평가를 수행할 계획이다. 이를 위해 깃허브에 해당 테스트 표준을 업로드하고 참여자들의 평가를 취합 중이다.
KISA역시 IoT 보안인증제 도입을 준비하고 있다. KISA는 보안인증제를 도입하고 중장기적으로 이를 의무화하는 방안을 구상하고 있다. 이를 위해 모든 IoT 기기에 적용할 수 있는 국제 표준 기반 공통 점검 항목을 개발하고 있다. KISA는 오는 7월까지 점검 항목을 도출, 8월부터 실질적인 인증이 이뤄질 수 있게 한다는 목표다.
‘선보안 후연결, 보안 해결이 먼저다’ 펜타시큐리티는 ‘선 보안 후 연결’이라는 캐치프레이즈를 내걸고 IoT 보안 시장에 참여하고 있다. 보안을 해결하지 않고 IoT 디바이스가 인터넷 접속하게 되면 그 즉시 취약점이 생길 수밖에 없다는 점을 강조하고 있는 것이다. 펜타시큐리티는 많은 IoT기기들은 리소스의 부족으로 백신 등 기존 보안 솔루션을 탑재할 수 없다는 점에 주목하고 있다. 단순한 센서 수준의 제한된 컴퓨팅 자원을 가진 기기의 보안을 확보하기 위해 펜타시큐리티는 “생산단계에서부터 보안이 내재된 디바이스가 많이 만들어져야한다”고 강조한다.
|
‘네트워크 가시성 확보로 네트워크 관리 가능’ 지니언스는 자사가 가지고 있는 NAC 솔루션을 내세워 ‘네트워크 가시성’의 중요성을 강조하고 있다. 기존 업무 환경에서 직원들에게 보여주는 것은 데스크톱 본체밖에 없었다. 하지만 IoT 시대가 다가오면서 어떤 단말기가 네트워크에 접속되는지 확인이 어려워지고 있다. |
‘쉬운 보안으로 가정에서도 보안 확보 유리’
|
생명을 위협할 수도 있는 IoT, 보안의식 함양 필요
최근 개봉한 ‘분노의 질주: 더 익스트림’은 해킹에 의해 감염된 커넥티드 카가 공격자에 의해 움직이는 모습을 보여줘 IoT 보안 위협을 잘 보여주었다는 평을 받고 있다. 가트너에 따르면 커넥티드 카는 2020년까지 2억 2천만 대 수준으로 늘어날 것으로 예측되고 있다.
커넥티드 카는 다양한 편의 기능을 갖춰 자동차 산업을 이끌어갈 성장 동력으로 주목받고 있지만 자칫 탑승자나 보행자의 생명이 위험해질 수 있다는 이유로 소비자들의 걱정 또한 적지 않은 실정이다.
실제로 스페인의 한 해커팀은 스마트카 해킹을 통해 차량 엔진 내부의 제어구역 네트워크에 접근해 브레이크를 조작하는 해킹이 가능하다는 것을 입증한 바 있다.
시만텍은 ‘자동차 이상행위 탐지’ 기능을 갖춘 차량용 IoT 보안 솔루션을 통해 보안 위협에 대처하고 있다. 머신러닝 기술을 기반으로 차량을 모니터링해 차량 운행이 정상적으로 이뤄지고 있는지를 학습하는 솔루션이다. 차량의 정상 운영 상태를 시스템이 직접 학습하고 제조사가 예상하지 못하는 공격을 파악할 수 있다. 제조사가 정책을 정의하지 않더라도 감지된 심각도와 위험을 기반으로 우선순위를 자동 설정하도록 개발됐다. 시만텍은 자동차를 타깃으로 한 해커들에게 대응하기 위해 자동차 제조사, 반도체업체 등과 함께 협력하고 있다.
펜타시큐리티는 ‘아우토크립트(AutoCrypt)’를 개발해 자동차 제조기업과 협력하고 있다. 아우토크립트는 방화벽, 키관리시스템, 보안통신시스템, 차량용 PKI인증 시스템으로 구성돼 있다. 외부에서 유입되는 악성패킷과 내부 발생 비정상 패킷을 분석하고, 알려진 공격과 알려지지 않은 공격을 차단하는 것이 골자다. 시스템 키의 라이플사이클 관리 시스템과 인증서 관리, 인증/암호화를 통한 위변조 방지 등의 시스템을 갖췄다.
한편 업계는 시스템의 발전만큼이나 개인의 보안의식 함양이 가장 중요하다고 입을 모았다. IoT기기에 대한 보안이 생명과 재산을 좌지우지할 수 있는 만큼 IoT 보안이 중요해진 만큼 개인의 보안의식 역시 함께 상승해야 한다는 것이다.
한 관계자는 “PC의 발전사를 통해 우리는 보안을 염두 하지 않은 발전이 얼마나 위험해질 수 있는지 학습해왔다”며, “IoT시대를 앞둔 지금, 개인의 보안의식 함양과 더불어 통합적인 보안전략을 가지고 IoT 생태계를 구축해나가야 할 때”라고 강조했다.