IoT는 이미 일상에 깊이 녹아들었다. AI 스피커, 스마트TV와 냉장고 등이 가정에서 사용되고 있으며, 스마트그리드 시범사업이 확대되고 있고, 전국 주요 지방자치단체들이 스마트시티 사업을 확대하고 있다. ‘초연결 환경’은 전 세계적인 트렌드로 5G 상용화를 시작으로 초연결성은 더욱 더 확장될 것으로 보인다.
초연결성은 공격의 진화 속도를 더욱 빠르게 할 수 있다. 운영기술(OT)까지 연결돼 IT 위협이 OT까지 번질 것이며, 모든 IT 기기들은 검색엔진 쇼단을 통해 검색되고 취약점이 공개될 수 있다. 초연결 사회에서는 공격자가 이용할 수 있는 취약점이 도처에 널렸으며, 관리되지 않은 수많은 기기들은 공격자의 유용한 공격 도구가 될 수 있다.
5G는 새로운 전쟁터가 될 수 있다. 5G에 직접 연결되는 IoT 기기를 노리는 대규모 사이버 공격이 일어날 수 있다. 시만텍은 “와이파이 라우터를 경유하지 않고 5G IoT 기기를 공격하는 대규모 공격이 발생할 수 있다”고 경고했다. 5G IoT 기기는 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링하기 어려울 것이며, 클라우드 기반 스토리지로 쉽게 백업·전송할 수 있어 공격자들이 탈취한 데이터를 쉽고 안전하게 보관하고 이용할 수 있게 될 것이다.
IoT 사생활 유출 ‘심각’
구글, 쇼단 등 인터넷에 연결된 시스템을 찾아볼 수 있는 검색엔진을 통해 IoT 위협은 배가될 것이다. 예를 들어 러시아 웹사이트 인세캠은 인터넷에 연결된 CCTV 서버와 업체명을 리스트화 한 후 국가별로 조회하고 원하는 대상의 CCTV 관리자 페이지로 접근할 수 있는 정보를 준다. 관리자 페이지의 ID/PW는 기본값으로 설정돼 있어 아무나 웹캠 화면에 접속하고 조작할 수 있다.
SK인포섹 EQST ‘2019 보안위협 전망 보고서’에서 이 사례를 들며 IoT 위협의 심각성을 경고했다. 누구나 남의 집에 몰래 숨어들어가 사생활을 엿보고 개인정보를 탈취할 수 있는 시대가 된 것이다.
이스트시큐리티 ESRC는 특히 가정용 IoT 기기의 위험성을 경고했는데, 이 기기는 PC에 비해 상대적으로 신속한 보안 패치가 이뤄지지 않으며, 초기 설정을 유지하는 경우가 많고, 24시간 활성화 돼 있어 공격자가 적은 노력으로 큰 성과를 얻을 수 있다.
시만텍은 다양한 스마트홈 디바이스, 커넥티드카 등을 마음대로 조종해 사이버테러에 버금가는 피해를 입힐 수 있다고 경고했다. 예를 들어 가정용 온도조절장치를 중단시켜 강추위 속에서 전 국민을 추위에 떨게 하는 등의 재난을 발생시킬 수 있다.
IoT 위협은 주로 인터넷에 연결된 단말기의 취약성으로 인해 발생한다. 한국인터넷진흥원은 “보안에 취약한 인터넷 단말기가 보안 관리자를 고민하게 만드는 주요 요소가 될 것”이라고 설명했다. 초기 비밀번호를 변경하지 않거나 유추할 수 있는 쉬운 번호로 변경한다면 공격의 타깃이 되거나 공격에 이용될 수 있다.
보안에 취약한 기기를 이용한 대규모 디도스 공격도 위험하며, 감염된 디바이스가 봇넷을 이뤄 여러 공격에 이용될 수도 있다. 잉카인터넷은 IoT 기기가 좀비화 돼 블록체인, 암호화폐 네트워크를 공격하고 개인정보를 탈취하며 악성코드 유포 숙주로 악용될 수 있다고 지적했다.
SK인포섹 EQST에 따르면 2018년 발생한 IoT 공격의 80%는 사토리(Satori)와 미라이(Mirai)이며, 8월에 발생한 사토리 봇넷 공격이 2018년 한 해 공격의 40%를 차지한다. 특히 공격에 이용된 취약점은 2016년에 공개된 원격 명령 실행 가능(RCE) 취약점인데 해당 제조사는 아직도 패치를 하지 않고 있다. EQST는 “IoT 기기는 인더스트리 4.0 시대에 맞춰 사용되는 대상 영역과 수가 기하급수적으로 늘고 있다”고 지적했다.
보안에 취약한 IoT 기기를 찾아 좀비화 하는 것이 어려운 일은 아니지만, 대규모 봇넷을 만들어 공격에 이용하려면 상당한 시간과 노력이 필요하다. 공격자들은 기기가 아니라 IoT로 연결된 중요 시스템을 공격해 효과를 극대화하려는 움직임도 보이고 있다.
SK인포섹 보고서에서는 ‘류크 랜섬웨어’의 예를 들어 산업제어시설이 처한 위험에 대해 설명했다. 류크는 기업의 생산설비를 공격했으며, 기업은 공장의 생산이 중단되면 수천억원 규모의 피해가 발생한다는 점 때문에 공격자에게 돈을 보내줄 수 밖에 없었다.
