2016년 새해에도 사이버 공격은 끝없이 진화하고 있다. 특히 잘 관리된 게이트웨이가 아니라 사람, 단말, 웹 등 관리되지 않는 취약점을 공격한다. 2016년 정보보호 분야에서 가장 뜨거운 이슈 10개를 선정해 집중 분석하면서 대응 방안을 찾아본다.<편집자>
IoT 보안위협의 현실화
수년간 핫이슈로 지목된 사물인터넷(IoT) 해킹 위협이 ‘이제야말로’ 현실로 다가왔다. 스마트워치, 스마트TV 등 인터넷에 연결된 디지털 기기사용이 확산되면서 실제로 악성코드에 감염되는 사례가 발견됐으며, 스마트카도 해킹 위험으로 대량 리콜 됐다.
가트너는 인터넷에 연결된 기기가 매일 550만개씩 늘어나 2015년 65억개에서 2020년 210억개에 이를 것이라고 전망한 바 있다. 2015년 해킹 컨퍼런스 블랙햇에서는 스마트카 해킹, 스마트 소총 사례 등이 시연되면서 다양한 IoT 보안 위협에 대한 경고가 나왔다.
블루코트의 ‘2016 보안시장 전망’ 보고서에서는 ‘10시가 되었습니다. 온도조절장치 확인하셨나요?’라는 소제목을 통해 IoT 보안위협을 경고했다. 스마트홈이 실제 생활에 적용되면서 자동 온도조절장치의 장애나 해킹으로 집안 환경에 문제가 생길 수 있다는 뜻을 담고 있는 것이다.
미국에서 많은 사람들이 사용하는 집안 온도 조절 기기인 네스트의 OS 버그로 인해 자주 꺼지는 일이 발생해 피해가 확산된 바 있다. 네스트는 와이파이를 통해 자동 업데이트되는데, 그 중 한 버전에서 배터리를 빨리 소모하게 하는 버그가 있었던 것이다. 네스트는 집안의 냉난방을 제어하기 때문에 네스트가 꺼지면 냉난방 기기가 일제히 작동을 멈추게 된다.
보안 취약한 스마트 기기 통해 스마트폰 공격
스마트 기기들은 단순한 동작만 가능한 ‘헤드리스(headless devices)’ 기기인 경우가 많은데, 이러한 기기들은 소량의 코드만으로 쉽게 감염될 수 있다. OTA를 통해 업데이트 되는 경우가 많아 와이파이 취약점을 이용해 악성코드를 포함한 패치를 업데이트할 수 있어 공격에 취약하다.
포티넷은 ‘2016년 보안시장 전망’ 보고서를 통해 2016년에는 기기간 신뢰도 높은 통신 프로토콜을 타깃으로 하는 멀웨어와 익스플로잇이 크게 증가할 것이라고 내다보면서 헤드리스 기기를 노리는 공격이 늘어날 것이고, 이 기기의 ‘헤드’ 역할을 하는 스마트폰이나 원격제어장치까지 영향을 미칠 수 있다고 경고했다.
대부분의 IoT 기기들이 헤드리스 기기로 분류될 수 있는데, 웨어러블 기기부터 스마트홈 기기, CCTV, 사회기반시설의 각종 센서, 인터넷에 연결된 헬스케어 장비, 스마트카 등이 대표적인 예로 꼽힌다. IoT 기기는 가격에 민감하기 때문에 값싼 하드웨어 플랫폼과 운영체제를 사용하고 있어 제작단계에서 보안에 소홀한 경우가 많다.
생명·건강·안전 직결된 IoT 보안
헬스케어와 관련된 기기들은 특히 더 심각한 보안위협에 노출돼 있다. 핏빗과 같은 일상생활의 건강정보를 기록하는 장치들이 개인정보를 어떻게 수집하고 이용하는지 정확하게 파악해야 한다. 많은 경우 필요 이상의 정보를 수집해 암호화되지 않은 평문 상태로 스마트폰이나 서버로 보낸다. 사용자의 활동기록, 건강기록 등이 세밀하게 측정되는 건강정보를 공격자가 가로채 공격에 이용할 수 있다.
스마트카 해킹 문제는 더 심각하다. 스마트카의 자가진단장치를 해킹해 원격제어할 수 있다는 사실이 해킹대회를 통해 증명되면서 피아트크라이슬러가 14만대의 차량을 리콜했으며, 도요타의 커넥티드 카도 해킹이 가능하다는 사실이 입증된 바 있다.
의료기기는 사람의 생명에 직접 위해를 가할 수 있기 때문에 매우 심각한 위협이 된다. 시만텍은 2016년은 의료기기 분야가 보안위협의 새로운 영역이 될 것이라고 예상했다. 아직까지 현실에서 해킹 사례가 보고된 바 없지만, 인공심장박동기(pacemaker)나 인슐린 펌프와 같은 생명 유지 기기의 해킹 가능성은 충분하다. 또한 모바일 헬스(mHealth)의 발전으로 환자들이 점차 집에서 의료 기기를 사용하게 되고, 이에 따라 공용 네트워크에 의료 기기가 연결된다거나 스마트폰과 같은 개인기기를 통해 의료 정보가 포함한 개인의 데이터를 주고 받게 될 것으로 예상된다.
IoT 전 영역에서 보안정책 마련돼야
IoT를 노리는 공격은 안전하지 않은 무선네트워크를 이용해 정보를 탈취하거나 기기에 악성코드가 감염돼 공격자에게 조종당하는 시나리오를 갖는다. IoT 기기의 펌웨어 자체에 문제가 있는 경우도 있으며, 소프트웨어에 존재한 취약점을 악용하는 경우, 인증정보를 탈취해 기기를 조종하거나 IoT제어 시스템으로 잘못된 정보를 보내는 공격도 가능하다.
포티넷은 2016년 기기간 신뢰도 높은 통신 프로토콜을 타깃으로 하는 멀웨어와 익스플로잇이 증가할 것으로 내다봤으며, 먼저 착륙한 후 확장(Land and Expand)하는 공격의 중심 타깃으로 IoT 기기가 사용될 것이라고 예상했다.
KISA의 ‘산업체가 주목해야 할 10대 정보보호 기술’ 중에는 IoT 보안의 핵심요소로 ‘보안게이트웨이’를 들었다. IoT 디바이스 사이의 통신 프로토콜을 조사하고, 서비스 플로우를 분석해 IoT에서 발생할 수 있는 침해사고를 사전에 예방해야 한다는 설명이다. 이에 따라 IoT 보안을 준비하는 기업들은 oneM2M 표준을 준수하는 IoT 게이트웨이를 출시하며 시장을 개척하고 있다.
IoT 보안의 핵심인 ‘인증’ 기술도 빠른 속도로 발전하고 있다. 스마트폰과 생체정보 혹은 생체행위정보를 결합한 보안인증 기술이 선보이는가 하면, 1mm×1mm까지 작아지는 보안칩으로 더 안전하고 편리한 인증을 구현하기도 한다.
