최초의 사물인터넷 검색엔진 '쇼단'을 아시나요?

‘쇼단(Shodan)’은 인터넷상의 모든 것을 찾아주는 검색 엔진이다. 구글 및 기타 검색 엔진은 웹만 인덱싱하지만 쇼단은 웹캠부터 상수도시설, 요트, 의료기기, 신호등, 풍력 터빈, 차량 번호판 판독기, 스마트 TV, 냉장고까지 인터넷에 연결된 것(또는 연결되어서는 안 되는 것)이라면 뭐든 찾을 수 있다. 
 

쇼단을 이해하는 가장 좋은 방법은 창시자 존 매덜리의 책을 읽는 것이다. 쇼단의 기본 알고리즘은 간단명료하다. 

(1) 무작위 IPv4 주소를 생성한다. 
(2) 쇼단이 인식하는 포트 목록에서 테스트할 임의의 포트를 생성한다. 
(3) 임의의 포트에서 무작위 IPv4 주소를 확인하고 배너를 가져온다. 
(4) 1로 돌아간다. 

이게 전부다. 쇼단은 뭐든지 찾고, 뭐든지 색인으로 만들며, 뭐든지 검색할 수 있게 한다. 

작동 방식 
개방된 포트에서 실행되는 서비스는 배너를 통해 어떤 서비스를 제공하고, 어떻게 상호작용하는지 공개적으로 알린다. 쇼단은 다음과 같은 FTP 배너의 예를 제공한다. 
 

220 kcg.cz FTP server (Version 6.00LS) ready.

쇼단은 웹 콘텐츠를 인덱싱하진 않지만 포트 80과 443은 쿼리한다. 아래는 <CSO온라인(CSOnlin)>의 https 배너다. 
 

$ curl -I https://www.csoonline.com HTTP/2 200 server: Apache-Coyote/1.1 x-mod-pagespeed: 1.12.34.2-0 content-type: text/html;charset=UTF-8 via: 1.1 varnish accept-ranges: bytes date: Fri, 25 May 2018 14:16:18 GMT via: 1.1 varnish age: 0 x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR x-cache: HIT, MISS x-cache-hits: 2, 0 x-timer: S1527257779.808892,VS0,VE70 vary: Accept-Encoding,Cookie x-via-fastly: Verdad content-length: 72361

다른 포트의 다른 서비스는 서비스별 정보를 제공한다. 이는 공개된 배너가 사실인지 진짜인지는 보장하지 않는다. 대부분은 진짜다. 하지만 어느 경우이든 의도적으로 오해의 소지가 있는 배너를 게시했다면 이는 은닉을 통한 보안(Security by Obscurity)에 해당한다. 

몇몇 기업은 쇼단이 네트워크를 크롤링하지 못하도록 차단한다. 쇼단은 이러한 차단을 수용한다. 그러나 공격자는 네트워크에 연결된 취약한 기기를 찾는 데 쇼단이 필요하지 않다. 쇼단을 차단한다면 (인터넷의 모든 것을 찾아준다는 사실 때문에 느낀) 잠깐의 당혹스러움을 모면할 수 있을진 몰라도 보안 태세가 강화되지는 않을 것이다. 

합법인가? 
그렇다. 쇼단은 합법이다. 다시 말해, 쇼단을 사용해 취약한 시스템을 찾는 일은 합법이다. 물론 쇼단으로 찾은 취약한 시스템에 침입하는 건 불법이다. 그렇다고 하더라도 쇼단은 사람들을 겁나게 만든다. 지난 2013년 CNN은 쇼단을 ‘인터넷에서 가장 무서운 검색 엔진’이라고 언급하면서 다음과 같이 말했다. “어떻게 해커에게 발전소의 위치를 죄다 알려줄 수 있는가? 해커가 발전소를 파괴해도 좋다는 말인가? 정말 무서운 일이다.” 

무지에서 비롯된 과대망상이다. 위해를 가할 의도가 있는 공격자는 표적을 찾는 데 굳이 쇼단이 필요하지 않다. 이는 지-맵(z-map)을 실행하는 봇넷이 하는 일이다. 쇼단의 진정한 가치는 방어자가 자신의 네트워크 가시성을 높일 수 있도록 지원하는 것에 있다. 무엇을 방어해야 하는지 모른다면 방어할 수 없다. 이는 기업 차원에서도 사회 전체 차원에서도 똑같다. 쇼단은 (모두가 살고 있는) 안전하지 않고 상호 연결된 사이버-물리 세계의 가시성을 제공한다. 

사용 방법 
오늘날의 기업은 일반적으로 원하는 범위 이상으로 인터넷에 노출되고 있다. 직원들은 일을 하기 위해 네트워크에 무언가를 연결한다. 여기에 온갖 섀도우 IT까지 감안하면 관리해야 할 공격 표면이 증가한다. 쇼단을 사용하면 연결된 기기의 서브넷 또는 도메인, 개방된 포트, 기본 인증서, 심지어는 알려진 취약점까지 쉽게 검색할 수 있다. 물론 공격자도 동일한 것을 볼 수 있기 때문에 공격을 당하기 전에 입구를 막아야 한다. 

많은 기기가 배너에 기본 비밀번호를 공개한다. 예를 들면 대부분의 시스코 기기는 기본 사용자 이름/비밀번호 조합으로 ‘cisco/cisco’를 게시한다. 공격자보다 앞서 네트워크에서 이러한 기기를 찾아내는 방어에 유리하다. 쇼단을 활용하면 하트블리드(Heartbleed) 등의 특정 익스플로잇에 취약한 기기도 검색할 수 있다. 또 방어자가 보호해야 할 기기를 식별하는 것뿐만 아니라 침투 테스터가 정보를 수집하는 데도 유용하다. 아울러 클라이언트의 전체 서브넷을 시끄럽게 매핑하는 것보다 쇼단을 사용하는 편이 더 빠르고 은밀하다. 

한편 유료 회원은 쇼단 API에 액세스할 수 있다. 또한 모니터링하려는 서브넷에 새로운 기기가 뜨면 알림을 생성할 수 있다. 이는 직원들이 인터넷에 무엇을 연결했는지 지속적으로 확인할 수 있는 저렴하고 효과적인 방법이다. 

IoT 및 ICS 검색 
쇼단에서 가장 주목할 만한 부분은 인터넷에 연결돼 있는 엄청난 양의 안전하진 않지만 중요한 인프라에 관한 대중의 인식을 높여준다는 데 있다. 쇼단의 인터넷 지도는 인터넷이 직면한 시스템 보안 문제를 수량화하는 데 유용하고, 미디어와 정책 결정자가 이 문제의 솔루션에 관해 보도하고 논의할 수 있게 해준다(참고: 이 글의 저자는 쇼단 유료 회원이고, 쇼단이 탐사 저널리즘을 위한 매우 유용한 도구라고 생각한다). 

ICS/SCADA를 예로 들어보자. 산업 제어 시스템은 인터넷보다 먼저 등장했고, 보안을 염두에 두지 않고 설계됐다. 애당초 인터넷에 연결되는 시스템으로 개발되지 않았으며, 이를테면 정화되지 않은 하수를 수돗물에 방류하는 등의 악의적인 공격은 물리적 보안 통제 수단이면 충분하다고 여겼다. 

하지만 상황이 달라졌다. 인터넷 연결을 감안하지 않고 개발된 핵심 인프라가 이제는 전 세계의 모든 공격자와 얼마 안 떨어진 곳에 있게 됐다. 쇼단을 사용하면 이러한 시스템을 쉽게 찾고 경보를 울릴 수 있다. 그렇다면 상수도시설, 댐, 화장터, 요트 등이 언제나 인터넷에 연결돼 있어야 하는 것일까? 아마도 그렇지 않을 것이다. 쇼단은 IoT 보안 심각성을 일깨우는 데 기여한다.

마찬가지로 커넥티드 커피머신부터 커넥티드 섹스토이, 커넥티드 냉장고까지 안전하지 않은 IoT 기기가 시장에 넘쳐나고 있다. 시장은 이러한 기기를 지원하는 강력한 사이버 보안을 구축하는 데 확실히 실패했고, 규제기관은(몇몇 예외를 제외하고) 이에 개입해 강력한 사이버 보안 수단을 요구하는 데 실패했다. 더 심각한 일은 사물인터넷 제조업체가 비즈니스를 중단하거나 기기 지원을 그냥 팽개치는 것이다. 

그 결과, 방치된 소비자의 안전하지 않은(그리고 안전해질 수 없는) 기기는 봇넷 군단의 노예로 전락되기 마련이다. 이것이 인터넷 전체에 미치는 구조적 위험은 아무리 강조해도 지나치지 않다. 일반인들이 쇼단을 처음 접하면서 느낀 당혹스러움은 상황을 이렇게까지 방치한 시장 및 규제기관이 느껴야 한다. 

무료인가? 
쇼단은 무료로 쓸 수 있지만 무료 계정의 검색 결과 수는 한정돼 있다. 고급 필터는 유료 회원(미화 49달러)만 사용할 수 있다. 전체 시스템의 실시간 데이터 스트림을 필요로 한다면 역시 유료 회원으로 가입해야 한다. 엔터프라이즈 에디션(Enterprise Edition)은 쇼단의 모든 데이터, 글로벌 인프라의 온디멘드 액세스를 지원하고, 아울러 모든 구성원에게 언제든지 모든 것에 액세스할 수 있는 무제한 라이선스를 제공한다. 

위협 인텔리전스 담당자라면 쇼단 엔터프라이즈가 반가울 것이다. 쇼단은 공식 홍보자료에서 “이 플랫폼은 사용자가 자신의 네트워크뿐만 아니라 전체 인터넷을 모니터링할 수 있게 해준다. 클라우드, 피싱 웹사이트, 손상된 데이터베이스 등으로 데이터 유출이 없는지 탐지할 수 있다. 엔터프라이즈 데이터 라이선스(Enterprise Data License)는 인터넷상의 모든 연결된 기기를 모니터링할 도구를 제공한다”라고 밝히고 있다. 

아울러 대기업 또는 지-맵으로 쓸데없이 시간을 낭비하고 싶지 않은 기업에게 쇼단 엔터프라이즈는 데이터를 상업적으로 사용할 수 있는 데이터 라이선스를 제공한다. 가능한 사용 사례로는 사기 방지, 마켓 인텔리전스, 위협 인텔리전스 등이 있다. 비용은 쇼단의 영업팀에게 직접 문의해야 한다. 추측하건대 종합 패키지가 저렴하지는 않을 것이다. ciokr@idg.co.kr