2018.07.05

'기이하고 소름 돋는' IoT 해킹 사례 라운드업

Glenn McDonald | Network World

사물인터넷 보안이 요즘 들어 꽤나 주목 받는 이슈가 되고 있다는 건 더 이상 새삼스럽지 않다. 각종 백색가전, 카메라, 냉난방, 자동차 등 전 세계 곳곳에 거미줄처럼 촘촘히 이어진 연결 디바이스들이 광범위하고 까다로운 보안 이슈를 만들어내고 있다.

문제는 인터넷에 연결되는 이들 ‘스마트’기기 상당수가 무방비 상태로 노출돼 있으며, 이에 따라 쉽게 해킹 당할 수 있다는 것이다. 경우에 따라서는 민감한 정보를 유출하기도 하고, 감시 문제로 우려를 자아내기도 하며, 심지어는 실제 물리적 위험을 야기하기까지 한다.

이처럼 IoT 보안이 제기하는 문제는 거대하고, 복잡하며, 심각한 수준이다. 오늘은 보다 거시적 관점에서, 그 동안 헤드라인을 장식해 온 굵직굵직한 IoT 보안 사건 사고를 살펴본다. 물론 중간 중간 특이하거나 수상한, 혹은 우스운 일화들도 곁들여져 있다.

가전제품 보안을 가볍게 여기는 사람이, 누구나 꼭 주위에 한 명쯤은 있을 것이다. 오늘 소개할 일화들이 그런 이들에게 경종을 울리기를 기대한다.

봇넷의 디도스 공격
무방비 상태의 기기를 하이재킹 하여 봇넷 군단의 먹잇감으로 삼는 방식은 IoT 극 초창기부터 빈번히 발생해 온 가장 일반적 형태의 IoT 보안 위협이다. 해커들은 가상의 강제 징용과 유사한 방식으로 기기들을 수집하여 장악한 후 이들 전체의 연산력을 이용해 각종 웹사이트 및 온라인 서비스에 대한 디도스 공격을 감행한다.

IoT 봇넷 트렌드가 정점을 이룬 것은 2016년 악명 높은 미라이 사이버 공격이 발생했을 때였다. 미라이 사이버공격은 도메인-네임 인프라스트럭처에 대한 공격이 CNN, 트위터, 레딧, 넷플릭스 등 중요 웹사이트 및 온라인 서비스를 일시적으로 스톨 아웃(stall out) 시킨 사건이었다.

이 중단 사태를 야기한 것은 약간 변형된 형태의 디도스(봇넷) 공격이었다. 당시만 해도 봇넷은 대부분 TV나 홈 엔터테인먼트 콘솔처럼 무해한 IoT 디바이스들로 이뤄져 있었다. 미라이 사이버공격은 디도스 공격 중에서도 가장 강력한 수준이었다. 조사 결과 수십 만 대의 IoT 기기가 하이재킹 당한 것으로 알려졌다.

사탄의 인형



2017년 2월 한 건의 당혹스런 IoT 해킹 사고가 뉴스 지면을 장식했다. 피해자는 아동용 스마트 장난감 클라우드펫츠(CloudPets)의 제작사였다. 인터넷 연결형 스마트 장난감으로 인기를 끌고 있던 이 회사는 자신들이 보유한 대량의 사용자 정보 데이터베이스를 제대로 된 보안 조치도 없이 온라인에 보관해온 것으로 드러났다.

총 80만 명 이상의 이메일 계정과 허술한 패스워드를 포함한 각종 정보가 유출됐다. 보안 전문가들에 따르면 클라우드펫츠 장난감을 이용해 이뤄진 아동과 부모 간의 음성 메시지 데이터에도 접근이 가능했던 것이 확인됐다. (클라우드펫츠는 귀여운 애완동물의 외형에 음성 메시지 송수신을 기본 기능으로 하는 장난감이다.)

이어 추후 진행된 조사에서는 부모와 자녀를 연결해주는 이 장난감이 범죄자들의 원격 감시 도구로 악용될 수 있는 가능성이 확인되기도 했다.

토이 스토리
클라우드펫츠의 사례가 낯설지 않게 느껴진다면, 그건 아마도 최근 몇 년 들어 클라우드펫츠와 유사한 방식의 보안 위협이 주기적으로 발생해왔기 때문일 것이다. 인터넷 연결 장난감들은 보안적 관점에서 보자면 본질적으로 인터넷 연결 기기들과 하등 다를 것이 없다. 게다가 마이크나 카메라가 달려있다는 측면에서 보면 훨씬 더 무섭다.

이런 도시 괴담도 있다. 교외에 사는 한 부부가 한 밤 중 아이 방에서 들리는 외설스러운 욕설 소리에 화들짝 놀라 일어난다. 서둘러 아이 방으로 달려 가보니 누군가가 베이비 모니터와 카메라 시스템을 해킹한 것이었다. 움직임 탐지 기능이 있는 이 로봇 카메라는 부부가 방 안에 들어서자 아이를 향해 소리를 지르다 말고 고개를 들어 부부를 바라봤다고 전해진다.

불행히도 이는 단순한 도시 괴담이 아니라, 2014년 실제 있었던 일이다. 이 사건을 시초로 하여 여러 가지 소름 돋는 장난감 해킹 사건들이 발생했다. 2017년에는 FBI까지 개입하여 인터넷 연결 장난감 구매에 대해 소비자들에게 주의를 당부하기도 했다.

자동차 해킹
현재 매우 심각한 보안 위협의 초기 단계에 서 있으며 앞으로 여러 가지 IoT 보안 문제들이 발생할 것이라고 전문가들은 말한다. 온라인을 조금만 둘러 보면 안티 해킹 컨벤션이나 보안 관련 프레젠테이션에서 아직까지 발생하지 않은, 잠재적인 해킹 위협에 대해 설명하는 전문가들의 이야기가 차고 넘친다는 것을 알 수 있을 것이다.

2015년에는 어느 겁 없는 리포터가 자동차 해킹 문제에 대해 맨땅에 헤딩하기 식의, 실험적 접근을 한 적이 있었다. 와이어드(Wired)지 리포터 앤디 그린버그는 보안 전문가 찰리 밀러 및 크리스 발라섹의 도움을 받아 고속도로 차 해킹 실험을 진행했다.

고속도로에서 약 시속 110킬로미터로 달리는 와중에 미리 고용한 해커가 무선으로 지프 차의 대시보드 통제권을 탈취하도록 한 것이었다. 라디오 소리가 쾅쾅 울려 퍼지고, 에어컨이 최대 강도로 틀어지는가 싶더니 와이퍼가 미친 듯이 제 멋대로 움직이기 시작했다. 결국에는 엔진이 멈췄다.

이 유쾌하고도 소름 돋는 실험을 촬영한 영상은 단숨에 유명해 졌으며, 이를 계기로 자동차 업계가 가상 카재킹(carjacking) 딜레마에 대한 해결책을 제시할 것을 요구하는 목소리가 커졌다.


2018.07.05

'기이하고 소름 돋는' IoT 해킹 사례 라운드업

Glenn McDonald | Network World

사물인터넷 보안이 요즘 들어 꽤나 주목 받는 이슈가 되고 있다는 건 더 이상 새삼스럽지 않다. 각종 백색가전, 카메라, 냉난방, 자동차 등 전 세계 곳곳에 거미줄처럼 촘촘히 이어진 연결 디바이스들이 광범위하고 까다로운 보안 이슈를 만들어내고 있다.

문제는 인터넷에 연결되는 이들 ‘스마트’기기 상당수가 무방비 상태로 노출돼 있으며, 이에 따라 쉽게 해킹 당할 수 있다는 것이다. 경우에 따라서는 민감한 정보를 유출하기도 하고, 감시 문제로 우려를 자아내기도 하며, 심지어는 실제 물리적 위험을 야기하기까지 한다.

이처럼 IoT 보안이 제기하는 문제는 거대하고, 복잡하며, 심각한 수준이다. 오늘은 보다 거시적 관점에서, 그 동안 헤드라인을 장식해 온 굵직굵직한 IoT 보안 사건 사고를 살펴본다. 물론 중간 중간 특이하거나 수상한, 혹은 우스운 일화들도 곁들여져 있다.

가전제품 보안을 가볍게 여기는 사람이, 누구나 꼭 주위에 한 명쯤은 있을 것이다. 오늘 소개할 일화들이 그런 이들에게 경종을 울리기를 기대한다.

봇넷의 디도스 공격
무방비 상태의 기기를 하이재킹 하여 봇넷 군단의 먹잇감으로 삼는 방식은 IoT 극 초창기부터 빈번히 발생해 온 가장 일반적 형태의 IoT 보안 위협이다. 해커들은 가상의 강제 징용과 유사한 방식으로 기기들을 수집하여 장악한 후 이들 전체의 연산력을 이용해 각종 웹사이트 및 온라인 서비스에 대한 디도스 공격을 감행한다.

IoT 봇넷 트렌드가 정점을 이룬 것은 2016년 악명 높은 미라이 사이버 공격이 발생했을 때였다. 미라이 사이버공격은 도메인-네임 인프라스트럭처에 대한 공격이 CNN, 트위터, 레딧, 넷플릭스 등 중요 웹사이트 및 온라인 서비스를 일시적으로 스톨 아웃(stall out) 시킨 사건이었다.

이 중단 사태를 야기한 것은 약간 변형된 형태의 디도스(봇넷) 공격이었다. 당시만 해도 봇넷은 대부분 TV나 홈 엔터테인먼트 콘솔처럼 무해한 IoT 디바이스들로 이뤄져 있었다. 미라이 사이버공격은 디도스 공격 중에서도 가장 강력한 수준이었다. 조사 결과 수십 만 대의 IoT 기기가 하이재킹 당한 것으로 알려졌다.

사탄의 인형



2017년 2월 한 건의 당혹스런 IoT 해킹 사고가 뉴스 지면을 장식했다. 피해자는 아동용 스마트 장난감 클라우드펫츠(CloudPets)의 제작사였다. 인터넷 연결형 스마트 장난감으로 인기를 끌고 있던 이 회사는 자신들이 보유한 대량의 사용자 정보 데이터베이스를 제대로 된 보안 조치도 없이 온라인에 보관해온 것으로 드러났다.

총 80만 명 이상의 이메일 계정과 허술한 패스워드를 포함한 각종 정보가 유출됐다. 보안 전문가들에 따르면 클라우드펫츠 장난감을 이용해 이뤄진 아동과 부모 간의 음성 메시지 데이터에도 접근이 가능했던 것이 확인됐다. (클라우드펫츠는 귀여운 애완동물의 외형에 음성 메시지 송수신을 기본 기능으로 하는 장난감이다.)

이어 추후 진행된 조사에서는 부모와 자녀를 연결해주는 이 장난감이 범죄자들의 원격 감시 도구로 악용될 수 있는 가능성이 확인되기도 했다.

토이 스토리
클라우드펫츠의 사례가 낯설지 않게 느껴진다면, 그건 아마도 최근 몇 년 들어 클라우드펫츠와 유사한 방식의 보안 위협이 주기적으로 발생해왔기 때문일 것이다. 인터넷 연결 장난감들은 보안적 관점에서 보자면 본질적으로 인터넷 연결 기기들과 하등 다를 것이 없다. 게다가 마이크나 카메라가 달려있다는 측면에서 보면 훨씬 더 무섭다.

이런 도시 괴담도 있다. 교외에 사는 한 부부가 한 밤 중 아이 방에서 들리는 외설스러운 욕설 소리에 화들짝 놀라 일어난다. 서둘러 아이 방으로 달려 가보니 누군가가 베이비 모니터와 카메라 시스템을 해킹한 것이었다. 움직임 탐지 기능이 있는 이 로봇 카메라는 부부가 방 안에 들어서자 아이를 향해 소리를 지르다 말고 고개를 들어 부부를 바라봤다고 전해진다.

불행히도 이는 단순한 도시 괴담이 아니라, 2014년 실제 있었던 일이다. 이 사건을 시초로 하여 여러 가지 소름 돋는 장난감 해킹 사건들이 발생했다. 2017년에는 FBI까지 개입하여 인터넷 연결 장난감 구매에 대해 소비자들에게 주의를 당부하기도 했다.

자동차 해킹
현재 매우 심각한 보안 위협의 초기 단계에 서 있으며 앞으로 여러 가지 IoT 보안 문제들이 발생할 것이라고 전문가들은 말한다. 온라인을 조금만 둘러 보면 안티 해킹 컨벤션이나 보안 관련 프레젠테이션에서 아직까지 발생하지 않은, 잠재적인 해킹 위협에 대해 설명하는 전문가들의 이야기가 차고 넘친다는 것을 알 수 있을 것이다.

2015년에는 어느 겁 없는 리포터가 자동차 해킹 문제에 대해 맨땅에 헤딩하기 식의, 실험적 접근을 한 적이 있었다. 와이어드(Wired)지 리포터 앤디 그린버그는 보안 전문가 찰리 밀러 및 크리스 발라섹의 도움을 받아 고속도로 차 해킹 실험을 진행했다.

고속도로에서 약 시속 110킬로미터로 달리는 와중에 미리 고용한 해커가 무선으로 지프 차의 대시보드 통제권을 탈취하도록 한 것이었다. 라디오 소리가 쾅쾅 울려 퍼지고, 에어컨이 최대 강도로 틀어지는가 싶더니 와이퍼가 미친 듯이 제 멋대로 움직이기 시작했다. 결국에는 엔진이 멈췄다.

이 유쾌하고도 소름 돋는 실험을 촬영한 영상은 단숨에 유명해 졌으며, 이를 계기로 자동차 업계가 가상 카재킹(carjacking) 딜레마에 대한 해결책을 제시할 것을 요구하는 목소리가 커졌다.


X