2019.05.23

"기업 IoT 데이터 트랜잭션 90% 암호화 안돼"

Lucian Constantin | CSO
기업 네트워크에 연결된 수백만 개 IoT 기기의 40% 이상이 암호화되지 않았다는 조사 결과가 나왔다. 이는 방대한 수의 기기가 중간자(MitM) 공격에 노출돼 있음을 의미한다. 이를 악용하면 해커가 데이터를 빼내거나 변조할 수 있다.
 
ⓒ Getty Images Bank

네트워크 보안 기업 지스케일러(Zscaler)의 최신 보고서 내용이다. 이 기업의 클라우드에서 수집한 원격 측정 데이터를 분석했다. 1,051개 기업 네트워크에 연결된 5,600만 개 이상의 IoT 기기를 한 달 이상 조사했다.

지스케일러는 이번 조사에서 153개 기기 제조업체의 IoT 프로필 270개를 찾아냈다. IP 카메라, 스마트 워치, 스마트 프린터, 스마트 TV, 셋톱 박스, 디지털 홈 어시스턴트, IP 폰, 의료 기기, 디지털 비디오 레코더, 미디어 플레이어, 데이터 수집 터미널, 디지털 사이니지 미디어 플레이어, 스마트 글래스, 산업용 제어 기기, 네트워킹 기기, 3D 프린터 등 다양했다. 심지어 스마트 자동차도 있었다.

이중 가장 많은 것이 비디오 디코딩용 셋톱 박스였다. 탐지된 기기의 50% 이상을 차지했다. 이어 스마트 TV, 웨어러블 기기, 프린터 순이었다. 그러나 아웃바운드 데이터 트랜잭션을 가장 많이 일으키는 것은 데이터 수집 터미널이었다. 전체 트랜잭션의 80%가 넘었다.

이번 조사에서 가장 눈에 띄는 것은 기업 네트워크 속 IoT 기기 데이터 트랜잭션의 91.5%가 암호화되지 않았다는 사실이다. 기기만 놓고 보면 41%가 TLS(Transport Layer Security)를 전혀 사용하지 않았다. 41%는 일부 연결에서만 TLS를 사용했고 모든 트래픽을 TLS 암호화한 것은 18%에 그쳤다.

이처럼 연결을 암호화하지 않으면 여러 가지 형태의 중간자 공격을 받을 수 있다. 예를 들어 악성코드 공격으로 로컬 네트워크에 접속 권한을 확보한 해커가 ARP(Address Resolution Protocol) 스푸핑을 할 수 있다. 혹은 로컬 라우터를 해킹한 후 IoT 트래픽을 가로채 악의적인 업데이트를 배포할 수 있고, 또는 계정 정보나 텍스트로 전송되는 데이터를 탈취하는 것도 가능하다.

늘어나는 기업 네트워크 속 IoT 기기 활용
특히 우려되는 것으로 자사 네트워크에서 방대한 규모의 소비자용 IoT 기기를 운용하는 기업이다. 지스케일러의 부사장 디펜 드사이는 "이는 쉐도우 IT의 문제이기도 하다. 즉, 많은 기업이 직원이 사내 네트워크에 연결해 사용하는 전자 기기를 관리하는 데 애를 먹고 있다. 웨어러블 기기부터 자동차까지 기기 종류도 다양하다.

 따라서 기업은 네트워크를 지속적으로 스캔해 이러한 쉐도우 기기를 찾아내는 방법을 마련해야 한다. 그 후에 이들 기기가 덜 민감한 별도 네트워크에만 접속할 수 있도록 정책을 만들어야 한다"라고 말했다.
이는 지스케일러가 찾아낸 또 다른 문제와도 연관이 있다. 즉 IoT 기기 대부분이 비즈니스 크리티컬 애플리케이션과 시스템이 사용하는 것과 같은 네트워크에 연결돼 있다는 사실이다. 만약 이들 IoT 기기 중 하나만 뚫려도 해커가 이 네트워크에 연결된 모든 다른 시스템을 공격할 수 있다.

해커의 공격은 다양하게 진행될 수 있다. 먼저 해커가 악성코드를 이용해 워크스테이션이나 직원 노트북을 장악하면 같은 네트워크에 있는 IoT 기기에 대한 접속 권한을 확보할 가능성이 있다. 일반적인 컴퓨터에서도 악성 코드를 감지하는 데 다소 시간이 걸리는데, 해킹된 IoT 기기를 찾아내는 것은 더 어렵다. 적발되기 전까지는 해커에게 네트워크에 대한 은밀한 백도어를 제공하게 된다.
 
드사이에 따르면, 이번에 지스케일러가 찾아낸 사례 중에는 감시 카메라 같은 기업용 IoT 기기가 인터넷이 직접 노출된 경우도 있었다. 기업 네트워크에 연결된 전체 IoT 기기 수에 비하면 미미한 수준이기는 하지만 IoT 기기가 인터넷에 바로 연결돼 있으면 해킹에 노출될 가능성이 매우 높다. 반면 내부의 로컬 네트워크는 해킹하기가 상대적으로 어렵다.

IoT 악성 코드에 취약한 기기도 많았다. 보안이 취약하거나 기본 설정 계정으로 운영하는 식이었다. 알려진 보안 취약점을 그대로 방치한 경우도 있었다. 이는 많은 IoT 기기가 자동으로 업데이트되지 않고, 사용자가 수동으로 업데이트를 확인해 설치해야 하는데 이 작업을 거의 하지 않기 때문이다. 또한, IoT 기기 중 상당수가 이미 알려진 보안 취약점을 가진 오래된 라이브러리를 사용하는 것으로 나타났다.

그 결과 악성코드 감염으로 15분마다 평균 6000번의 IoT 트랜잭션이 발생했다. 이런 기기를 노리는 악성코드는 미라이(Mirai), 리프트(Mirai), 가프짓(Gafgyt), 부시도(Bushido), 하카이(Hakai), 머스틱(Muhstik) 등이었다. 일반적으로 이들 봇넷은 그 관리 프레임워크 내에서 무차별 대입(brute-forcing) 로그인 공격이나 알려진 보안취약점을 악용해 확산한다.

드사이는 "IoT 기기가 급속히 확산하면서 사이버 범죄자의 새로운 공격 표적이 되고 있다. 문제는 IoT 기술이 이들 기기와 사용자를 보호할 수 있는 메커니즘보다 더 빨리 변화한다는 점이다. 그래서 최근 시장에 나온 일반 소비자용 IoT 하드웨어 기기 대부분에는 보안 기능이 부족하다. 이런 기기들이 기업 네트워크에서 사용되고 있는 것이다"라고 말했다. ciokr@idg.co.kr



2019.05.23

"기업 IoT 데이터 트랜잭션 90% 암호화 안돼"

Lucian Constantin | CSO
기업 네트워크에 연결된 수백만 개 IoT 기기의 40% 이상이 암호화되지 않았다는 조사 결과가 나왔다. 이는 방대한 수의 기기가 중간자(MitM) 공격에 노출돼 있음을 의미한다. 이를 악용하면 해커가 데이터를 빼내거나 변조할 수 있다.
 
ⓒ Getty Images Bank

네트워크 보안 기업 지스케일러(Zscaler)의 최신 보고서 내용이다. 이 기업의 클라우드에서 수집한 원격 측정 데이터를 분석했다. 1,051개 기업 네트워크에 연결된 5,600만 개 이상의 IoT 기기를 한 달 이상 조사했다.

지스케일러는 이번 조사에서 153개 기기 제조업체의 IoT 프로필 270개를 찾아냈다. IP 카메라, 스마트 워치, 스마트 프린터, 스마트 TV, 셋톱 박스, 디지털 홈 어시스턴트, IP 폰, 의료 기기, 디지털 비디오 레코더, 미디어 플레이어, 데이터 수집 터미널, 디지털 사이니지 미디어 플레이어, 스마트 글래스, 산업용 제어 기기, 네트워킹 기기, 3D 프린터 등 다양했다. 심지어 스마트 자동차도 있었다.

이중 가장 많은 것이 비디오 디코딩용 셋톱 박스였다. 탐지된 기기의 50% 이상을 차지했다. 이어 스마트 TV, 웨어러블 기기, 프린터 순이었다. 그러나 아웃바운드 데이터 트랜잭션을 가장 많이 일으키는 것은 데이터 수집 터미널이었다. 전체 트랜잭션의 80%가 넘었다.

이번 조사에서 가장 눈에 띄는 것은 기업 네트워크 속 IoT 기기 데이터 트랜잭션의 91.5%가 암호화되지 않았다는 사실이다. 기기만 놓고 보면 41%가 TLS(Transport Layer Security)를 전혀 사용하지 않았다. 41%는 일부 연결에서만 TLS를 사용했고 모든 트래픽을 TLS 암호화한 것은 18%에 그쳤다.

이처럼 연결을 암호화하지 않으면 여러 가지 형태의 중간자 공격을 받을 수 있다. 예를 들어 악성코드 공격으로 로컬 네트워크에 접속 권한을 확보한 해커가 ARP(Address Resolution Protocol) 스푸핑을 할 수 있다. 혹은 로컬 라우터를 해킹한 후 IoT 트래픽을 가로채 악의적인 업데이트를 배포할 수 있고, 또는 계정 정보나 텍스트로 전송되는 데이터를 탈취하는 것도 가능하다.

늘어나는 기업 네트워크 속 IoT 기기 활용
특히 우려되는 것으로 자사 네트워크에서 방대한 규모의 소비자용 IoT 기기를 운용하는 기업이다. 지스케일러의 부사장 디펜 드사이는 "이는 쉐도우 IT의 문제이기도 하다. 즉, 많은 기업이 직원이 사내 네트워크에 연결해 사용하는 전자 기기를 관리하는 데 애를 먹고 있다. 웨어러블 기기부터 자동차까지 기기 종류도 다양하다.

 따라서 기업은 네트워크를 지속적으로 스캔해 이러한 쉐도우 기기를 찾아내는 방법을 마련해야 한다. 그 후에 이들 기기가 덜 민감한 별도 네트워크에만 접속할 수 있도록 정책을 만들어야 한다"라고 말했다.
이는 지스케일러가 찾아낸 또 다른 문제와도 연관이 있다. 즉 IoT 기기 대부분이 비즈니스 크리티컬 애플리케이션과 시스템이 사용하는 것과 같은 네트워크에 연결돼 있다는 사실이다. 만약 이들 IoT 기기 중 하나만 뚫려도 해커가 이 네트워크에 연결된 모든 다른 시스템을 공격할 수 있다.

해커의 공격은 다양하게 진행될 수 있다. 먼저 해커가 악성코드를 이용해 워크스테이션이나 직원 노트북을 장악하면 같은 네트워크에 있는 IoT 기기에 대한 접속 권한을 확보할 가능성이 있다. 일반적인 컴퓨터에서도 악성 코드를 감지하는 데 다소 시간이 걸리는데, 해킹된 IoT 기기를 찾아내는 것은 더 어렵다. 적발되기 전까지는 해커에게 네트워크에 대한 은밀한 백도어를 제공하게 된다.
 
드사이에 따르면, 이번에 지스케일러가 찾아낸 사례 중에는 감시 카메라 같은 기업용 IoT 기기가 인터넷이 직접 노출된 경우도 있었다. 기업 네트워크에 연결된 전체 IoT 기기 수에 비하면 미미한 수준이기는 하지만 IoT 기기가 인터넷에 바로 연결돼 있으면 해킹에 노출될 가능성이 매우 높다. 반면 내부의 로컬 네트워크는 해킹하기가 상대적으로 어렵다.

IoT 악성 코드에 취약한 기기도 많았다. 보안이 취약하거나 기본 설정 계정으로 운영하는 식이었다. 알려진 보안 취약점을 그대로 방치한 경우도 있었다. 이는 많은 IoT 기기가 자동으로 업데이트되지 않고, 사용자가 수동으로 업데이트를 확인해 설치해야 하는데 이 작업을 거의 하지 않기 때문이다. 또한, IoT 기기 중 상당수가 이미 알려진 보안 취약점을 가진 오래된 라이브러리를 사용하는 것으로 나타났다.

그 결과 악성코드 감염으로 15분마다 평균 6000번의 IoT 트랜잭션이 발생했다. 이런 기기를 노리는 악성코드는 미라이(Mirai), 리프트(Mirai), 가프짓(Gafgyt), 부시도(Bushido), 하카이(Hakai), 머스틱(Muhstik) 등이었다. 일반적으로 이들 봇넷은 그 관리 프레임워크 내에서 무차별 대입(brute-forcing) 로그인 공격이나 알려진 보안취약점을 악용해 확산한다.

드사이는 "IoT 기기가 급속히 확산하면서 사이버 범죄자의 새로운 공격 표적이 되고 있다. 문제는 IoT 기술이 이들 기기와 사용자를 보호할 수 있는 메커니즘보다 더 빨리 변화한다는 점이다. 그래서 최근 시장에 나온 일반 소비자용 IoT 하드웨어 기기 대부분에는 보안 기능이 부족하다. 이런 기기들이 기업 네트워크에서 사용되고 있는 것이다"라고 말했다. ciokr@idg.co.kr

X