2016.09.08

강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안

강은성 | CIO KR
어느새 사물인터넷(Internet of Things, IoT)이 우리 곁으로 들어왔다. 냉장고와 세탁기에 인터넷이 연결되고 스마트폰 앱으로 조종할 수 있는 로봇청소기도 선을 보였다. 시장 조사기관인 가트너에서는 인터넷에 연결되는 IoT 기기가 2020년에 208억 대에 이를 것이라는 예측을 내놓았다(Gartner, "Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015", 2015.11.10). 세계적인 IT업체인 구글뿐 아니라 전통적인 완성차 업체인 다임러, 아우디, BMW 등이 선도하는 자율주행차 역시 전형적인 사물인터넷 제품이다.

<그림 1> 개인ㆍ가정용 사물인터넷 제품



뿐만 아니라 이미 대중화된 스마트 밴드를 비롯한 웨어러블 제품, 에너지, 항공, 열차, 교통시스템 같은 산업용 제품도 인터넷(또는 네트워크)에 연결되어 편의성, 효율성 등을 크게 향상시켰다. 이렇게 제품들에는 CPU나 MPU(Micro Processing Unit)가 장착되고, 플래시 메모리 같은 저장장치를 갖고 소프트웨어나 펌웨어(Firmware)가 필요한 기능을 실행한다.

이렇게 스마트 제품이 인터넷에 연결되면서 그에 따른 부작용에 대한 우려가 커지고 있다. 대표적인 것이 IoT 제품에 대한 해킹에 의한 원격 조종이나 프라이버시 침해이다.

<그림2> 원격에서 해킹당한 지프 체로키



미국 유명 잡지인 와이어드의 기자가 직접 원격 모의해킹을 체험하여 쓴 기사를 보면, 그가 운전한 세계적인 자동차 회사의 지프차가 원격에서 해킹되어 자신의 의사와 관계없이 핸들이 움직이고 브레이크가 작동하지 않은 상태에서 속도 역시 원격에서 조종되어 달리던 지프차가 <그림 2>와 같이 고속도로를 벗어나 멈춰 섰다(Andy Greenberg, "Hackers remotely kill a jeep on the highway - with me in it", WIRED 2015.7.21). 무려 10마일(약 16킬로미터)이나 떨어진 곳에서 해커가 이동통신망을 통해 지프차에 내장된 텔레매틱스 시스템에 접속하고 다시 주행장치에 진입하여 차량을 원격 조종한 것이다. 이 시연으로 인해 크라이슬러사는 무려 140만대를 리콜하게 되었고, 완성차 업계에서 보안을 강화하게 된 계기가 되었다.

올해 4월에는 전라남도 여수시의 한 버스정류장에 설치된 버스정보시스템 단말기에서 한밤 중에 70분 동안 음란물이 방영되는 사고가 발생하였다. 경찰의 연락을 받은 담당자가 원격제어로 음란물 동영상을 차단하려고 했지만 범행자가 원격에서 이를 무력화시켰다. 사고 발생 경로로서 (1) 범행자가 단말기에 있는 USB 인터페이스를 통해 직접 접속한 경우 (2) 권한 있는 관리자가 (실수로) 해당 동영상을 재생한 경우 (3) 범행자가 보안시스템을 뚫고 해당 단말에 접속한 경우로 추정되었는데, 경찰의 수사 결과 (3)의 경로를 통해 사고가 발생했음이 드러났다("경찰, ‘음란물 노출’ 버스정류장 해외 IP 해킹 확인", KBS 2016.4.28).

<그림 3> 여수 버스정류장 음란동영상 뉴스 캡처


 

즉 해외 IP를 통해 해당 단말기에 접속한 범행자가 단말기의 인증 절차를 우회한 뒤 동영상 재생 프로그램을 설치하여 동영상을 반복 재생했다는 것이다. 이러한 시스템 및 네트워크 구성은 최근 인천공항, 강남역, 방송사 등 대중이 많이 보는 곳에서 화려하게 정보를 전달하는 디지털 사이니지(Sinage)와 유사하다. 위 세 가지 경로로 이와 비슷한 사고가 발생할 가능성이 있어서 제조업체, 시스템 통합업체, 서비스 운영업체 등 디지털 사이니지 관련 업계에서 이에 대해 만반의 준비를 갖춰야 할 것으로 보인다.

잘 알려진 IoT 플랫폼인 SmartThings에서도 보안취약점이 있었다. 미국 미시건대학팀은 자신들의 연구에서 SmartThings에 (1) 도어락 코드를 은밀히 심을 수 있고 (2) 현 도어락 코드를 훔칠 수 있으며 (3) 가정의 휴가 코드를 무력화할 수 있고 (4) 화재 경보를 위조할 수 있는 취약점이 있음을 개념증명 코드로 입증하였다(E. Fernandes et al., “Security Analysis of Emerging Smart Home Applications”, 2016).
 

 

<그림 4> SmartThings 아키텍처 개요


 

출처 : E. Fernandes et al., “Security Analysis of Emerging Smart Home Applications”, 2016

이것은 첫째, SmartThings가 기본적으로 권한 분리 모델(Privilege separation model)을 구현하여 그것을 이용하는 응용 앱들의 권한을 제한하였으나 그것이 충분히 세분화되어 있지 않아 결과적으로 앱이 과도한 권한을 사용할 수 있다는 점, 둘째, 한번 권한을 허용받으면 모든 이벤트를 읽을 수 있고, 이벤트를 위조할 수 있는 등 중요 정보가 오가는 이벤트 하위시스템에 보안취약점이 있기 때문에 발생하는 것으로 분석됐다. 이러한 IoT 플랫폼의 보안취약점은 그것을 기반으로 개발되는 모든 제품과 스마트폰 앱에서 발생할 수 있고, 그 피해가 IoT 제품을 이용하는 가정에 고스란히 돌아간다는 점에서 큰 위험이 아닐 수 없다(여기서는 주로 개인ㆍ가정용 IoT 제품의 문제만 다뤘다. 산업용 IoT 제품의 보안위험은 다른 차원의 문제를 가져올 수 있다).

이를 종합해 보면 IoT 제품에서의 보안 문제는 다음과 같은 특징이 있음을 알 수 있다.

첫째, IoT 제품의 보안취약점이 이용자의 생명과 재산의 안전 문제로 이어질 수 있다는 점이다. IoT 제품은 사이버 세계와 물리적 세계 사이의 '다리' 역할을 하고 있기 때문에 사이버상의 '보안' 문제가 현실 세계의 '안전' 문제로 나타날 수 있다. 기존 인터넷 및 모바일 시대에도 개인의 거주지나 개인 식별정보가 그 사람의 생명과 재산에 해를 끼칠 수 있다는 점이 지적되면서 개인정보 보호의 중요성이 강조되었으나, 사물인터넷에서는 발생 가능성이나 피해 규모가 훨씬 클 것으로 보인다.

둘째, 24시간 365일 이용자와 밀착해 있는 개인ㆍ가정용 IoT 제품은 제품에 따라 이용자의 신체정보나 행위정보, 가정정보 등 프라이버시 데이터를 끊임없이 모니터링, 수집하여 클라우드로 전송하고, 그 현황이나 분석결과를 이용자가 열람하도록 구성되어 있다. 이용자가 입력한 데이터를 사업자가 이용하는 기존 환경과는 달리 사물인터넷에서는 제품에서 이용자를 모니터링하여 지속적으로 수집한다는 점에서 수집된 프라이버시 데이터의 양이나 질이 차원을 달리할 것이기 때문에 데이터 유출 사고가 발생할 경우 피해 또한 현재와는 비교가 되지 않을 것으로 예상된다.

셋째, 리콜에 따른 IoT 제품 제조업체의 경제적 피해가 클 수 있다는 점이다. IoT 제품은 펌웨어로 기능이 구현되어 있는 경우가 많은데, FOTA(Firmware Over The Air) 같은 원격 패치 기능과 업데이트 인프라가 구축되어 있지 않다면 결국 리콜이 발생해 막대한 피해를 볼 수 있다. 제조업체에서는 가능하면 원격 패치가 가능하도록 제품을 구성해야 하고, 그렇지 않은 부분이 있다면 기존 서비스센터와 연계하여 부품교체나 패치를 효율적으로 처리할 수 있는 방안을 강구해 놓아야 할 것으로 판단된다.


*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 




2016.09.08

강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안

강은성 | CIO KR
어느새 사물인터넷(Internet of Things, IoT)이 우리 곁으로 들어왔다. 냉장고와 세탁기에 인터넷이 연결되고 스마트폰 앱으로 조종할 수 있는 로봇청소기도 선을 보였다. 시장 조사기관인 가트너에서는 인터넷에 연결되는 IoT 기기가 2020년에 208억 대에 이를 것이라는 예측을 내놓았다(Gartner, "Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015", 2015.11.10). 세계적인 IT업체인 구글뿐 아니라 전통적인 완성차 업체인 다임러, 아우디, BMW 등이 선도하는 자율주행차 역시 전형적인 사물인터넷 제품이다.

<그림 1> 개인ㆍ가정용 사물인터넷 제품



뿐만 아니라 이미 대중화된 스마트 밴드를 비롯한 웨어러블 제품, 에너지, 항공, 열차, 교통시스템 같은 산업용 제품도 인터넷(또는 네트워크)에 연결되어 편의성, 효율성 등을 크게 향상시켰다. 이렇게 제품들에는 CPU나 MPU(Micro Processing Unit)가 장착되고, 플래시 메모리 같은 저장장치를 갖고 소프트웨어나 펌웨어(Firmware)가 필요한 기능을 실행한다.

이렇게 스마트 제품이 인터넷에 연결되면서 그에 따른 부작용에 대한 우려가 커지고 있다. 대표적인 것이 IoT 제품에 대한 해킹에 의한 원격 조종이나 프라이버시 침해이다.

<그림2> 원격에서 해킹당한 지프 체로키



미국 유명 잡지인 와이어드의 기자가 직접 원격 모의해킹을 체험하여 쓴 기사를 보면, 그가 운전한 세계적인 자동차 회사의 지프차가 원격에서 해킹되어 자신의 의사와 관계없이 핸들이 움직이고 브레이크가 작동하지 않은 상태에서 속도 역시 원격에서 조종되어 달리던 지프차가 <그림 2>와 같이 고속도로를 벗어나 멈춰 섰다(Andy Greenberg, "Hackers remotely kill a jeep on the highway - with me in it", WIRED 2015.7.21). 무려 10마일(약 16킬로미터)이나 떨어진 곳에서 해커가 이동통신망을 통해 지프차에 내장된 텔레매틱스 시스템에 접속하고 다시 주행장치에 진입하여 차량을 원격 조종한 것이다. 이 시연으로 인해 크라이슬러사는 무려 140만대를 리콜하게 되었고, 완성차 업계에서 보안을 강화하게 된 계기가 되었다.

올해 4월에는 전라남도 여수시의 한 버스정류장에 설치된 버스정보시스템 단말기에서 한밤 중에 70분 동안 음란물이 방영되는 사고가 발생하였다. 경찰의 연락을 받은 담당자가 원격제어로 음란물 동영상을 차단하려고 했지만 범행자가 원격에서 이를 무력화시켰다. 사고 발생 경로로서 (1) 범행자가 단말기에 있는 USB 인터페이스를 통해 직접 접속한 경우 (2) 권한 있는 관리자가 (실수로) 해당 동영상을 재생한 경우 (3) 범행자가 보안시스템을 뚫고 해당 단말에 접속한 경우로 추정되었는데, 경찰의 수사 결과 (3)의 경로를 통해 사고가 발생했음이 드러났다("경찰, ‘음란물 노출’ 버스정류장 해외 IP 해킹 확인", KBS 2016.4.28).

<그림 3> 여수 버스정류장 음란동영상 뉴스 캡처


 

즉 해외 IP를 통해 해당 단말기에 접속한 범행자가 단말기의 인증 절차를 우회한 뒤 동영상 재생 프로그램을 설치하여 동영상을 반복 재생했다는 것이다. 이러한 시스템 및 네트워크 구성은 최근 인천공항, 강남역, 방송사 등 대중이 많이 보는 곳에서 화려하게 정보를 전달하는 디지털 사이니지(Sinage)와 유사하다. 위 세 가지 경로로 이와 비슷한 사고가 발생할 가능성이 있어서 제조업체, 시스템 통합업체, 서비스 운영업체 등 디지털 사이니지 관련 업계에서 이에 대해 만반의 준비를 갖춰야 할 것으로 보인다.

잘 알려진 IoT 플랫폼인 SmartThings에서도 보안취약점이 있었다. 미국 미시건대학팀은 자신들의 연구에서 SmartThings에 (1) 도어락 코드를 은밀히 심을 수 있고 (2) 현 도어락 코드를 훔칠 수 있으며 (3) 가정의 휴가 코드를 무력화할 수 있고 (4) 화재 경보를 위조할 수 있는 취약점이 있음을 개념증명 코드로 입증하였다(E. Fernandes et al., “Security Analysis of Emerging Smart Home Applications”, 2016).
 

 

<그림 4> SmartThings 아키텍처 개요


 

출처 : E. Fernandes et al., “Security Analysis of Emerging Smart Home Applications”, 2016

이것은 첫째, SmartThings가 기본적으로 권한 분리 모델(Privilege separation model)을 구현하여 그것을 이용하는 응용 앱들의 권한을 제한하였으나 그것이 충분히 세분화되어 있지 않아 결과적으로 앱이 과도한 권한을 사용할 수 있다는 점, 둘째, 한번 권한을 허용받으면 모든 이벤트를 읽을 수 있고, 이벤트를 위조할 수 있는 등 중요 정보가 오가는 이벤트 하위시스템에 보안취약점이 있기 때문에 발생하는 것으로 분석됐다. 이러한 IoT 플랫폼의 보안취약점은 그것을 기반으로 개발되는 모든 제품과 스마트폰 앱에서 발생할 수 있고, 그 피해가 IoT 제품을 이용하는 가정에 고스란히 돌아간다는 점에서 큰 위험이 아닐 수 없다(여기서는 주로 개인ㆍ가정용 IoT 제품의 문제만 다뤘다. 산업용 IoT 제품의 보안위험은 다른 차원의 문제를 가져올 수 있다).

이를 종합해 보면 IoT 제품에서의 보안 문제는 다음과 같은 특징이 있음을 알 수 있다.

첫째, IoT 제품의 보안취약점이 이용자의 생명과 재산의 안전 문제로 이어질 수 있다는 점이다. IoT 제품은 사이버 세계와 물리적 세계 사이의 '다리' 역할을 하고 있기 때문에 사이버상의 '보안' 문제가 현실 세계의 '안전' 문제로 나타날 수 있다. 기존 인터넷 및 모바일 시대에도 개인의 거주지나 개인 식별정보가 그 사람의 생명과 재산에 해를 끼칠 수 있다는 점이 지적되면서 개인정보 보호의 중요성이 강조되었으나, 사물인터넷에서는 발생 가능성이나 피해 규모가 훨씬 클 것으로 보인다.

둘째, 24시간 365일 이용자와 밀착해 있는 개인ㆍ가정용 IoT 제품은 제품에 따라 이용자의 신체정보나 행위정보, 가정정보 등 프라이버시 데이터를 끊임없이 모니터링, 수집하여 클라우드로 전송하고, 그 현황이나 분석결과를 이용자가 열람하도록 구성되어 있다. 이용자가 입력한 데이터를 사업자가 이용하는 기존 환경과는 달리 사물인터넷에서는 제품에서 이용자를 모니터링하여 지속적으로 수집한다는 점에서 수집된 프라이버시 데이터의 양이나 질이 차원을 달리할 것이기 때문에 데이터 유출 사고가 발생할 경우 피해 또한 현재와는 비교가 되지 않을 것으로 예상된다.

셋째, 리콜에 따른 IoT 제품 제조업체의 경제적 피해가 클 수 있다는 점이다. IoT 제품은 펌웨어로 기능이 구현되어 있는 경우가 많은데, FOTA(Firmware Over The Air) 같은 원격 패치 기능과 업데이트 인프라가 구축되어 있지 않다면 결국 리콜이 발생해 막대한 피해를 볼 수 있다. 제조업체에서는 가능하면 원격 패치가 가능하도록 제품을 구성해야 하고, 그렇지 않은 부분이 있다면 기존 서비스센터와 연계하여 부품교체나 패치를 효율적으로 처리할 수 있는 방안을 강구해 놓아야 할 것으로 판단된다.


*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 


X