사이버 공격의 새로운 영토, 사물인터넷

게시일: 2016-08-12 l 작성자: Ziv Chang (Director, Cyber Safety Solution)

사물인터넷(Internet of Things, IoT)은 인터넷을 기반으로 모든 사물을 연결하여 정보를 수집 및 교환할 수 있는 기술입니다. 가트너에서는 2020년까지 208억 대 이상의 IoT 기기가 상용될 것이라 예측하고 있습니다. IoT는 기업 프로세스와 시스템의 절반 이상을 차지할 것이며, IoT를 이용한 수익이 증가할 것으로 예상하고 있습니다.

중요한 것은 사이버 범죄자들이 이와 같은 기술을 활용하여 다양한 공격을 수행할 수 있다는 것입니다. IoT는 신규 애플리케이션과 하드웨어를 사용하지만, 이와 대조하여 오래된 커넥션 프로토콜과 운영체제(OS)가 설비되어 있습니다. 예를 들어, 원격제어 전구 또는 Wifi 탑재 차내 인포테인먼트(IVI) 시스템은 C언어로 개발되어 Linux 기반의 C언어로 개발되어 있지만, 안전 컴플라이어 (safe complier) 옵션이 부자합니다. 또한 TCP/IP (1989, RFC 1122), ZigBee (2004), CAN 2.0 (1991)과 같은 오래된 커넥션 프로토콜을 사용하기 때문에 취약점 공격을 통한 원격제어가 가능합니다.

일례로, TCP/IP 프로토콜 취약점을 공격할 경우, 중간자 공격 (man-in-the-middle)으로 악성 제3자가 IoT 기기의 네트워크로 침투하여 트래픽을 가로채 결국 기기에 접근할 수 있게 된다.

그림 1. TCP/IP 취약점을 이용한 중간자 공격

IoT 기기의 해킹은 다음과 같은 단계로 나눌 수 있습니다.

정찰과 기술검증(PoC)

해커는 타겟 기기의 취약점을 조사하여 기술검증(PoC)을 수행합니다. 이러한 PoC의 예로, IVI 수신기 취약점 또는 커넥티드 시스템의 인증 오류 등을 악용하여 데이터 탈취가 가능합니다.

이 단계에서 해커들은:

1. 디폴트 또는 임베디드 계정을 검색한다.
2. 프로토콜과 파라미터 퍼저 (fuzzer)와 같은 퍼즈 툴 (fuzz tool)을 활용하여 프로토콜 버그를 공격한다.
3. 입력 유효성 버그를 찾아낸다. (예, 버퍼 오버플로우, SQL 인젝션)

웹베이스 코드 호스팅 서비스인 Github에서는 Modbus Fuzzer 또는CANard 툴과 같은 여러 오픈소스 탐색 툴을 활용하여 위 과정을 빠르게 진행할 수 있습니다.

그림 2. 실행 중인 american fuzzy lop 2.06b 퍼저; 버그 체크를 위해 소프트웨어에 다량의 입력 데이터를 전송

기기 권한 탈취

해커들은 공격 벡터를 사용하여 IoT 기기의 권한을 탈취합니다.

  • 익스플로잇 또는 디폴트 사용자/비밀번호를 사용하여 기기에 접근한 뒤, 측면 이동 (lateral movement)을 위한 내부 네트워크를 탐색한다.
  • 봇넷을 심어 추가 컨트롤 권한 획득을 위한 봇 네트워크를 구성한다.
  • 디도스 공격을 실행한다. IoT 기기는 많은 양의 데이터를 운영하기 때문에 디도스 공격을 실행하기 좋은 환경이다. 최근 감염된 CCTV가 디도스 공격을 수행하기 위해 CCTV 수천대를 감염하여 네트워크 트래픽 소스로 활용한 경우도 있다.

그림 3. TCP/IP 익스플로잇을 활용한 SYN flood (디도스 공격의 일종)

  • 비트코인 마이닝 프로그램을 주입한다. 한 대의 IoT 기기는 CPU 파워가 낮지만, 전체를 감염할 경우 비트코인을 마이닝을 위한 충분한 프로세싱 파워를 이끌어낼 수 있다. 2014년 4월, 보안 카메라의 영상을 녹화한 DVR이 유사한 멀웨어에 감염된 경우가 있다.

피해 최대화

해커는 피해자에게 최대한의 피해를 가하기 위해 공격을 실시합니다. 자동차의 브레이크 또는 주행 시스템을 잠금하거나 스마트 TV의 스크린 잠금, 또는 전체 철로 시스템 마비 등의 공격이 가능합니다. 2016년 6월 당사에서 발견한 Flocker의 변종은, 기존 안드로이드 화면잠금형 랜섬웨어에서 스마트 TV 등의 기타 플랫폼을 공격하는 변종으로 발전되었습니다.

IoT기기는 성능과 기능에 중점을 두기 때문에 보안 부분이 간과되어 왔지만, 최근 소비자 및 기업의 IoT 도입 증가에 따라 보안은 중요한 화두가 되었습니다. 2018년까지 글로벌 IoT 보안 시장이 실제, 글로벌 시장 IoT 보안 5억 47백만 달러까지 성장할 것으로 예측하고 있습니다. 가트너에서는 2020년에 도달하여서는 기업 대상 사이버 공격의 25%는 IoT 공격을 통해 이루어질 것이라고 분석합니다. 테슬라피아트 크라이슬러는 버그바운티 프로그램을 도입하여 자사 커넥티드 카 보안 향상을 위한 프로젝트를 시작했으며, 미국 Automotive Information Sharing and Analysis Center (Auto-ISAC)는 15개 자동차 제조사와 협력하여 자동차 사이버 보안에 관한 가이드라인 제작을 시작했습니다.

IoT 사이버 탈취 또는 IoT 기기의 랜섬웨어 감염이 기술적으로 실현 가능하지만, 빠른 시일 내 확산될 가능성은 크지 않습니다. IoT 기기 해킹을 위한 자금 확보 및 기술 개발이 필요하기 때문입니다. 또한 랜섬웨어와 같이 무작위 공격을 통한 빠른 현금화가 가능한 비즈니스 모델을 가지고 있지 않기 때문입니다.

그럼에도 불구하고, IoT기기 도입의 증가와 상대적으로 편리한 보안 취약점 공격은 사이버 범죄자에게 매력적으로 다가옵니다. 광대한 네트워크의 커넥티드 디바이스를 위한 완벽한 보안은 없지만, IoT 소프트웨어 및 하드웨어 개발 시 보안 게이트 웨이, 엔드포인트 모니터링, 실시간 로그 감사 등의 보안 기능을 적용하여 사이버 위협에 대응할 수 있는 방안을 마련해나가야 합니다.

원문: Can Internet of Things be the New Frontier for Cyber Extortion?