IoT 업계 새해 다짐··· "LAN을 믿지 않는다"

지난 11월 인빈시아(Invincea)의 사이버 보안 연구원은 해커가 벨킨 위모(Belkin WeMo) 스마트 플러그에 악성코드를 감염시킬 수 있는 취약성을 찾아내 공개했다. 이 결함은 LAN에서 동작하며 인증이 필요없는 구성 프로토콜에서 발견됐다.


Image Credit: Stephen Lawson

이에 앞서 2015년에는 보안 업체 라피드세븐(Rapid7)의 연구원이 온라인 베이비 모니터링 기기 9개를 분석해 이 중 4개에서 하드코딩(Hardcoding)된 계정을 발견했다. 이런 백도어(Backdoor) 계정을 이용하면 로컬 네트워크를 통해 장치에 대한 관리 권한을 가로챌 수 있다.

이처럼 IoT 및 임베디드(Embedded) 기기 중 상당수가 숨겨진 계정, 미인증 관리 프로토콜, 하드코딩된 암호 기법 키 또는 비밀번호에 노출돼 있다. 기본 보안 구성을 해치는 이런 문제는 소비자용 제품뿐만 아니라 방화벽과 기타 보안장치를 포함해 기업용 제품에서도 종종 발견된다. 예를 들어, 지난 12월 초 SEC 컨설트(SEC Consult)의 연구원은 주로 기업과 정부 기관이 사용하는 소니의 전문가용 보안 카메라에서 백도어 계정 80여개를 찾아냈다. 이밖에도 다양한 비슷한 사례가 있다.

이런 기본적인 약점이 발생하는 1차적인 원인은 업체가 '안전하지 못한' 프로그래밍 작업을 하기 때문이다. 그러나 이 뿐만이 아니다. 제품을 설계할 때 모든 유형의 공격을 고려하지 않는 것도 중요한 요인이다. 전자는 개발자 교육 및 보안 검토 투자가 필요한 반면 후자는 더 간단하게 취약점을 없앨 수 있다.

실제로 이런 종류의 안전하지 못한 구성은 장치 제조사가 위협 모델링에 LAN 기반 공격을 포함시키면 손쉽게 막을 수 있다. 그러나 대부분 업체가 여전히 LAN을 묵시적으로 신뢰하는 환경으로 취급한다. 해커가 인터넷에서 직접 도달할 수 있는 장치만 표적으로 삼는다고 생각하는 것이다. 그러나 안타깝게도 지난 수년간의 상황을 보면 그렇지 않다. 사용자가 악성 웹사이트를 방문할 때 사용자의 브라우저를 장악한 후 이를 이용해 LAN을 거쳐 라우터(Router) 및 기타 장치를 공격하는 CSRF(Cross-Site Request Forgery) 공격이 점차 확산하고 있다.

또한 해커는 노트북이나 휴대전화에 악성코드를 감염시킨 후 LAN을 통해 해킹할 수 있는 다른 시스템을 찾는 경우가 많다(이를 '측면 이동(lateral movement)'이라고도 한다). 트립와이어(Tripwire)의 수석보안 연구원 크레이그 영은 "이처럼 IoT 업계에는 'LAN을 신뢰하라'는 전제가 보편화돼 있다. CSRF 또는 해킹된 스마트폰 앱은 매우 위험하지만 어떤 업체도 그 위험성을 제대로 이해하지 못하는 것 같다. 많은 경우에 기기는 로컬장치로부터 인증을 요구하지 않으므로 LAN을 통한 공격에는 알려진 보안 취약점 같은 것도 필요 없다"라고 말했다.

몇주 전 프루프포인트(Proofpoint)는 CSRF를 통해 라우터를 해킹하는 대규모 악성 코드 공격을 발견했다. 공격자는 인기 사이트가 사용하는 광고 네트워크에 악성 광고를 배치하고 방문자를 웹 기반 공격 툴킷 페이지로 이동시켰다. 최종 목표는 브라우저를 통해 그들의 로컬 네트워크를 스캔하고 라우터를 식별해 해킹하는 것이었다. 툴킷에는 129개 라우터 모델의 디지털 지문과 그 중 36개에 대한 익스플로잇(Exploit) 공격이 포함돼 있었다. 나머지는 알려진 기본 계정을 이용해 로그인했다.

인터넷에 직접 노출되지 않은 LAN 기기를 공격하는 방법은 CSRF 외에 또 있다. 컴퓨터 또는 스마트폰에서 구동하는 악성코드를 사용하는 것이다. 카스퍼스키 랩(Kaspersky Lab)의 연구원은 최근 라우터를 해킹하는 최초의 안드로이드 기반 악성코드를 발견했다. 이 앱을 휴대전화에 설치하면 로컬 네트워크를 통해 라우터의 관리 웹 인터페이스에 강제로 비밀번호 추측 공격을 수행한다.

뉴스타(Neustar)의 보안 연구 책임자 겸 IoT 설계자 브라이언 크노프는 "많은 IoT 제조업체가 기기 자체를 보호하는 대신 기기가 라우터 뒤에 설치될 것이라는 가정하에 방어 전략을 구성한다. 매우 무지한 발상이다"라고 말했다.

이전에 링크시스(Linksys), 벨킨, 윙크(Wink)에서 근무한 바 있는 그는 가정 또는 사무실에서 스마트 전구를 제어하는 필립스 휴(Philips Hue) 브릿지에서 발견된 2013년의 취약성을 예로 들었다. 이는 인증 명령을 위해 물리적인 MAC 주소에 기초한 액세스 토큰(Token)을 사용한 안전하지 못한 관리 프로토콜에서 발생했다.

이 결함은 LAN을 통해서만 악용할 수 있으므로 이 문제를 발견한 연구원은 로컬 MAC 주소를 획득하고 이를 이용해 필립스 브릿지에 악성 명령을 전송하기 위해 브라우저를 통해 컴퓨터로 원격 제공할 수 있는 익스플로잇 공격을 자바(Java)로 작성했다. 고크노프는 "물론 제대로 하는 IoT 기업도 있지만 그렇지 않은 기업이 훨씬 많다. 이런 낡은 사고를 바꾸려면 이를 강제할 수 있도록 불이익 요건을 마련해야 한다"라고 말했다.


대부분의 연결된 장치에서 발견되는 주된 결함은 기본적으로 로컬 네트워크의 다른 장치를 신뢰하는 것으로 간주하기 때문이다. 매년 데프 콘(Def Con) 컨퍼런스에서 IoT 해킹 대회를 주관하는 업체인 ISE(Independent Security Evaluators)의 경영 파트너 테드 해링턴은 "AH(Assume Hostility) 또는 TR(Trust Reluctance)로 알려져 있는 근본적인 보안 설계 원칙의 위반이다"라고 말했다.

기본적으로 적대적인 것으로 보지 않고 신뢰하는 것으로 가정하는 것이 문제인 또다른 이유는 소위 말하는 '디딤돌(stepping stone)' 공격이다. 이런 공격에서 해커는 이미 최종 대상에 대한 일정 수준의 신뢰 또는 액세스를 보유하고 있는 시스템을 해킹한다. 1억 명 이상의 사용자가 영향을 받은 2013년의 타깃(Target) 데이터 유출이 대표적인 예다. 당시 해커는 HVAC(Heating, Ventilation and Air Conditioning) 시스템을 해킹해 시작했으며 이를 통해 결국 해당 기업의 POS(Point Of Sale) 네트워크에 도달할 수 있었다.

많은 소형 기기가 연산력이 낮으므로 우선은 공격자에게 별가치가 없을 것으로 보인다. 하지만 그렇지 않을 수도 있다. 이와 관련된 해킹이 감지될 가능성이 작고 이를 통해 동일한 네트워크에 존재하는 더 취약한 대상에 대한 공격을 실시할 수 있다. 해링턴은 "로컬 네트워크에서 신뢰 모델을 적절하게 고려하지 않으면 설치된 각 추가적인 장치가 네트워크를 해킹하는 새로운 공격의 시작점이 될 수 있다"라고 말했다.

2016년, RBS(Risk Based Security)의 취약성 정보 통계에 따르면, 임베디드 장치의 하드코딩되거나 안전하지 못한 기본 계정에 대한 약 100개의 보고서가 있었다. 2013년 이후로 이런 약점이 약 550개나 보고됐다. RBS의 CRO(Chief Research Officer) 카슨 아이람은 "IoT가 큰 인기를 얻기전부터 임베디드 장치는 보안이 형편 없었다. 이런 장치는 보안 측면에서 코드 성숙도와 관련해 일반적인 소프트웨어보다 10년 이상 뒤처지는 경우가 많다. 그 중 상대적인 정밀 조사의 부재가 상당 부분을 차지한다"라고 말했다.

아이람에 따르면 일부 IoT 장치는 제작 업체가 로컬 위협을 고려하지 않거나 일반적으로 보안에 대해 알 수 없기 때문에 안전하지 못한 구성 문제가 있는지 파악하기 어렵다. 그는 "임베디드 장치/IoT 업체에 대한 행동 요건이 그리 크지 않다. '보안을 고려해야 한다'는 명제만큼 'LAN 기반 공격을 고려해 보안을 신중하게 생각해야 한다'는 것을 깨닫는 것이다. 심지어 일부 업체는 심지어 누군가 자신의 하드코딩된 비밀번호를 발견하거나 비전매 특허 통신프로토콜을 역설계할 수 있다는 가능성 조차 고려하지 않고 제품을 만들고 있다.

아이람은 "걱정스럽게도 많은 기업이 누가 어떤 환경에서 IoT 장치를 자사의 네트워크에 연결할 수 있는지 통제하는 정책이 없다. 특히 기업에는 추적조차 하지않는 섀도우 IT(Shadow IT) 문제까지 있으므로 보안을 염두에 두고 개발해야 할 필요성이 더 커지고 있다"라고 말했다.

이러한 위험은 소비자가 자신의 네트워크에 대한 접속을 통제하는 부문에서도 비슷하게 발생하고 있다. 백신 업체 비트디펜더(Bitdefender)의 수석 보안 연구원 알렉스 발란은 "사람들은 액세스 권한자를 제한하지 않은 채 스마트 온도 조절장치와 센서부터 인터넷 연결 초인종과 보안 카메라까지 다양한 기기를 가정에 설치해 사용하고 있다. 이들은 잠재적으로 감염된 노트북과 스마트폰을 네트워크로 가져오는 친구 및 가족 구성원과 Wi-Fi 비밀번호를 공유한다"라고 말했다.

이어 "그러나 스스로에게 질문해 보아야 한다. '나의 홈네트워크가 해킹될 수도 있지 않을까?'라는 물음이다. 그렇다고 생각된다면 개인적인 사진, 문서, 직장에서 가져온 파일 등 네트워크 내부의 모든 민감한 데이터를 고려했을 때 그렇게 약한 보안정책을 수립한 이유를 자문해 보아야 한다. 해킹 가능성이 크지 않다고 생각한다면 정말 대단한 사용자이거나 아니면 완전히 잘못 알고 있는 것이다"라고 말했다.

업체가 장치에 대한 적절한 잠금 기능을 구현할 때까지 소비자가 할 수 있는 일이 몇 가지 있다. 우선, 라우터는 네트워크로의 관문이자 임베디드 장치가 가장 보편적으로 대상으로 삼는 목표이므로, 이를 최대한 보호해야 한다. 최소한 기본 관리자 비밀번호를 변경하고 기본 LAN IP 주소를 변경해 자동화된 CSRF 공격에 대비해야 한다.

라우터가 가상 LAN(VLAN)을 생성하는 옵션을 제공하는 경우 이 기능을 이용해 자체 네트워크 구간에서 IoT 장치를 고립시키고 컴퓨터 또는 휴대전화는 관리가 필요한 경우에만 네트워크에 연결한다. 많은 IoT 기기를 클라우드 기반 서비스로 관리할 수 있으므로 초기 설정 외에는 로컬 네트워크를 통해 액세스할 필요가 없을 것이다.

라우터에서 게스트 Wi-Fi 네트워크를 생성할 수 있다면 이를 IoT 장치를 위한 VLAN 대안으로 사용할 수 있다. 게스트 네트워크는 일반적으로 메인 네트워크로부터 고립되며 여기에 연결된 장치에 대한 인터넷 액세스만 제공한다. 이렇게 할 경우 집을 방문하는 사람에게 동일한 게스트 Wi-Fi 네트워크를 제공하지 않는다.

기업은 네트워크에 새롭게 연결된 장치를 항상 모니터링해 승인하지 않은 것을 즉시 제거해야 한다. 또한, 승인된 IoT 장치는 강력한 액세스 정책에 따라 내부 방화벽 뒤에 배치해 네트워크상에서 다른 컴퓨터가 공격하지 못 하게 해야 한다. ciokr@idg.co.kr