IT 기술의 발전으로 IoT(Internet of Things, 사물인터넷)는 이제 우리의 일상이 되었습니다. 그러나 IoT와 가까워짐과 동시에 함께 찾아온 것이 있는데요. 바로 ‘IoT 보안 문제’입니다. 사실 보안 문제는 비단 IoT 영역의 문제는 아니지만, 특히 IoT는 우리 생활과 밀접한 관계가 있는 만큼 그 해결책 또한 함께 고려해 보아야 합니다. 오늘 이 시간에는 IoT 보안의 문제점에 대해서 알아보고, 그 대책에 대해서 생각해 보는 시간을 갖도록 하겠습니다.

‘해킹(Hacking)’, 우리의 일상이 되다!

멀게만 느껴지던 해킹이 우리 생활 속까지 파고 들어 가전제품이나 자동차까지도 해킹의 대상이 되고 있다고 합니다.

최근 스마트 냉장고가 해킹 통로로 이용될 수 있다는 기사가 실려 화제인데요. 냉장고의 보안 취약점으로 인해 중간자 공격이 가능하게 된 것이죠. 사용자의 Gmail 계정으로 접속해 개인 정보 유출로 이어질 수 있다는 것입니다.

또한 중국산 다리미에서 스팸을 발송하는 칩이 발견된 적도 있는데요. 해당 다리미는 수입 선적 중에 몇 그램의 무게 차이를 의심하고 분석해 본 결과 밝혀졌다고 합니다. 이 다리미는 약 200미터 내에 있는 보안이 되지 않은 무선랜에 접속하여 바이러스를 전파하고, 스팸 공격을 하도록 설계되었습니다.

이뿐만이 아닙니다. 두 명의 해커가 지프차인 ‘체로키(Cherokee)’를 해킹 실험하는 영상을 유튜브에 공개하여 제조사가 해당 차종 140만대를 리콜하기로 결정한 사례도 있습니다. 그리고 미국 식품의약국 FDA가 병원에서 사용되고 있는 진통제나 수액을 자동으로 주입하는 장치가 해킹될 수 있다는 것을 경고하기도 했는데요. 누군가 악의적으로 펌프를 원격 조정해서 약물 투여량을 조절할 수 있기 때문입니다.

위에서 언급한 사례들처럼 우리 주변의 사물들이 IT와 융합되면서 사이버 공간의 위협이 실제 현실 세계로 연결되고, 생명을 위협하는 수준까지 확대되고 있는데요. 이러한 상황 속에서 우리는 어떤 대책을 마련해야 하는 것일까요?

IoT 보안이 위협받고 있다!

1. IoT 보안 위협, 디바이스를 살피자!

IoT에 대한 보안 위협은 우선 기존에 우리가 크게 관심을 두지 않았던 디바이스 측면부터 살펴보아야 할 것 같습니다. 물론 디바이스뿐만 아니라 네트워크, 서비스 영역까지 모두 살펴보아야 합니다. IoT 환경의 위협은 각 요소가 연관되어 발생하는 경우가 대부분이기 때문입니다.

디바이스 측면에서는 검증되지 않은 부품이나 플랫폼을 사용하여 발생하는 공급망(Supply Chain) 공격, 기기에 노출된 디버그 포트를 통한 펌웨어 획득, 비인가 접속, 권한우회, 무작위 공격을 통해 원격 권한 탈취, 근거리 통신 정보 도청, 위•변조가 발생할 수 있습니다.

네트워크와 서비스 측면에서는 아이피테이블(iptable, 리눅스 커널 안에서 패킷 필터링 기능하는 넷필터(Netfilter)를 관리하기 위한 툴), DNS(Domain Name Server) 변조를 통한 파밍(Pharming), 네트워크 도청, 위•변조 및 재생공격, 클라우드 인터페이스 해킹 및 취약한 공개 플랫폼, 웹•앱 어플리케이션 해킹 위협이 있습니다.

2. IoT 보안 취약점

그러면 지금부터 실제로 보고된 IoT 환경의 취약점을 한번 살펴볼까요? 여기에서는 스마트홈 서비스를 예로 들어 보겠습니다.

위의 표를 통해 알 수 있듯이 스마트 전구와 브리지 간에 지그비(ZigBee) 또는 블루투스(Bluetooth)를 이용하여 통신하는 경우, 변경 불가한 비밀번호(Static Password)가 사용되는 문제가 발생할 수 있습니다.

또한 월패드의 관리자 웹 페이지 파라메터(Parameter)를 조작하여 버퍼 오버플로우(Buffer Overflow)를 발생시킬 수 있는데요. 뿐만 아니라 CCTV의 펌웨어의 업데이트를 인위적으로 조작하여 비정상적으로 설치되는 문제도 발생할 수 있습니다.

만약 이러한 IoT 보안의 취약점들을 타겟으로 하는 공격 코드가 작성되어 실행된다면 스마트홈 내 기기와 거주자들에게 미치는 악영향이 클 것으로 예상됩니다.

IoT 보안, 그 대응 방안은 무엇일까?

지금까지 IoT 보안 위협에 대해 살펴보았는데요. 우리가 그 위험에 적절하게 대응하기만 한다면 기기가 의도치 않게 동작하거나 인명 피해를 주는 일 등을 방지할 수 있을 것입니다. 그러면 정부/개인/기업 측면으로 구분하여 대응 방안을 한번 살펴보도록 하겠습니다.

1. 정부

미래창조과학부는 IoT 정보 보호 로드맵 3개년 시행 계획을 마련하였습니다. 보안이 내재화된 IoT 기반 조성, 글로벌 IoT 보안 선도 기술 개발, IoT 보안 산업 경쟁력 강화의 세 개축입니다. 기반 조성의 일환으로 산•학•연•기관 간 IoT 보안 얼라이언스를 구성하여 IoT 공통보안 원칙(v1.0) 발표에 이어 공통 보안 가이드, 분야별 보안 가이드를 준비 중입니다. 또한 IoT 보안 테스트 베드를 구축 중이며, IoT 보안 인증도 곧 추진될 예정이라고 합니다.

2. 개인

IoT 보안을 위해서는 PC, 스마트폰, 공유기에 대한 보안을 철저히 하는 것이 중요한데요. 개인이 실천할 수 있는 대응 방안들은 다음과 같습니다.

3. 기업

기업 측면에서는 기업별로 대응 방안의 차이가 있을 수 있을 텐데요. 여기에서는 LG CNS에서 제공하는 서비스를 소개하겠습니다.

이 서비스는 디바이스부터 IoT 서비스 자체에 대한 보안성 점검을 제공하며, 특히 서비스 기획 단계부터 보안 요구 사항을 제시하고 검증할 수 있는 IoT에 특화된 Secure SDLC(Software Development Life Cycle)를 제공합니다.

IoT 전 구성 요소(Server, Gateway, Device, Mobile)에 대한 보안 서비스를 제공하며, 상호 인증, 주요 정보 암호화, 크리덴셜(Credential, 암호학적 개인정보) 관리, 사용자 인증, Secure boot, Secure update와 같은 주요 기능이 제공됩니다. 이와 같이 LG CNS에서는 IoT 보안 위협에 대비하기 위하여 체계적인 준비를 갖추고 있습니다.

지금까지 점점 일상 속으로 파고들고 있는 IoT 보안 위협 사례, IoT의 취약점, 그에 대한 대응 방안 등을 함께 생각해 보았는데요. 요즘 여러 영역의 보안 문제가 심각한 이슈로 떠오르고 있는 만큼 보안 문제의 심각성을 깨닫고 대비한다면 거대한 보안 사고들을 막을 수 있지 않을까요? 이것은 IoT 영역 또한 마찬가지일 것입니다. 앞서 언급한 사례들이 여러분의 일상에서 발생하지 않도록 항상 보안에 대한 경계를 늦추지 않으시길 바랍니다.

LG CNS 페이스북 바로가기 : https://goo.gl/7NlwYp

글 l LG CNS 보안컨설팅팀

[‘보안컨설팅 A to Z’ 연재 현황 및 향후 계획]

● 1편 출입카드 복제 위험 : http://blog.lgcns.com/737
● 2편 통합보안 관리 솔루션 구축 시 고려사항 : http://blog.lgcns.com/751
● 3편 의료분야 개인정보보호 위반사례 및 대응방안 : http://blog.lgcns.com/779
● 4편 보안 위험 분석 방법론의 한계와 발전방향 : http://blog.lgcns.com/812 (上) / http://blog.lgcns.com/813 (下)
● 5편 물리보안 동향 : http://blog.lgcns.com/856
● 6편 보안관리체계 도입하기 : http://blog.lgcns.com/869
● 7편 IoT 보안 취약점 및 대응방안 : http://blog.lgcns.com/896
● 8편 금융권 망분리 가이드라인 : http://blog.lgcns.com/922
● 9편 전자문서 보안 : http://blog.lgcns.com/945
● 10편 공공기관 모바일 보안