2020.02.10

블로그ㅣ필립스 휴에서 보안 결함 발견··· IoT에 의미하는 바는?

Jonny Evans | Computerworld
최근 스마트 조명, 필립스 휴에서 보안 결함이 발견됐다. 이는 가정, 사무실, 산업 네트워크에 또 다른 커넥티드 기기를 추가할 때마다 발생할 수 있는 위험을 경고한다. 
 
ⓒⓒBen Patterson/IDG

보안 취약점이 포착된 필립스 휴
필립스 휴 스마트 조명 시스템은 아마 전 세계에서 가장 많이 설치된 스마트 홈 솔루션 중 하나일 것이다. 그렇기 때문에 보안업체 체크포인트가 2월 5일 공개한 보고서를 주목할 필요가 있다. 보고서는 필립스 휴에 보안 결함이 발견됐다고 밝혔다. 

지그비(Zigbee) 저전력 무선 프로토콜, 필립스 휴 스마트 조명, 제어 브릿지의 원격 취약점을 접속 포인트로 삼아 홈/오피스 네트워크에 침투가 가능했던 것으로 관측된다. 

스마트 조명 시스템이 다음과 같이 장악됐을 가능성이 있다고 체크포인트는 예측했다. 먼저 해커들이 조명을 제어하는 브릿지를 장악하고, 그다음 해커가 내부 네트워크에 침투할 수 있게 만드는 일련의 행위를 사용자가 하도록 속이는 것이다.

체크포인트는 이 문제점을 즉각 필립스에 통보했고, 해당 제조사는 빠르게 문제점에 대응하는 소프트웨어 패치를 배포했다. 

* 참고: 보안업체 카스퍼스키의 조사에 의하면, 지난 12개월 동안 스마트 홈 기기에 대한 공격이 약 700% 증가했다. 

왜 이런 일이 계속 발생하는가? 
이는 2014년 미국 대형 유통업체 타겟(Target)의 해킹 공격을 떠올리게 한다. 그 당시 해커들은 커넥티드 HVAC(Heating, Ventilation, and Air Conditioning) 시스템의 취약점을 사용해 수백만 개의 신용 및 직불 카드 정보를 탈취했다. 

이러한 사건은 해커가 네트워크를 침투했을 때 발생할 수 있는 일이다. 작게는 네트워크를 도청(packet-sniffing)하거나, 당신의 은행 정보를 해킹할지도 모른다. 심각하게는 근무하고 있는 발전소의 액세스 코드가 털릴 수도 있다. 

여기서 주목할 점은 타겟 해킹이 무려 6년이나 지난 지금에도 여전히 커넥티드 기기를 장악할 수 있다는 것이다. 이는 애플이 자체적인 홈킷(Homekit) 시스템을 만들고, 그 이후로 계속해서 해결하고자 시도해 온 문제다. 

제조사에 책임이 있다 
보안 결함의 책임을 필립스에 돌리고 싶진 않다. 필립스는 소식을 듣자마자 조치를 취했다. 지그비가 잘못한 것도 아니다. 모든 운영체제가 취약점을 가지고 있다는 것은 사실이고, 해당 취약점을 발견하는 것이 하나의 비즈니스이기도 하다. 

하지만 보안과 프라이버시를 대충 여기는 스마트 홈 제조사에는 책임을 묻고 싶다. 특히 취약한 기기가 가정 및 비즈니스용 스마트 기기의 중대한 보안 위협이 될 수 있기 때문이다. 보안이 우수한 스마트 기기 1만 대가 있더라도 오래된 커넥티드 온도조절기 하나면 해커가 전체 네트워크에 침투할 수 있다. 

그 때문에 제조사가 소프트웨어 및 보안 업데이트를 정기적으로 하고 있는지 확인해야 한다. 비즈니스용이든 개인 소비자용이든 관계없이 제조사가 보안 업데이트를 꾸준히 제공하지 않는다면 해당 제품을 구매해선 안 된다. 

개인 또는 기업 사용자가 할 수 있는 것은 무엇인가? 
기존에 사용하고 있는 커넥티드 기기의 목록을 만들 것을 권고한다. 그다음 아래의 항목들을 확인하라. 

· 이 기기가 최근 예상치 않은 불안정성을 보였는가?
· 펌웨어 업데이트가 가능한가?
· 최신 소프트웨어 패치가 설치됐는가?
· 소프트웨어 패치는 얼마나 정기적으로 제공되는가?
· 기기에서 기본 비밀번호를 변경할 수 있는가? 가능하다면, 변경하였는가? 
· 비밀번호에 영숫자 코드를 사용할 수 있는가? 
· 시스템이 최신 버전의 운영체제를 지원하는가?
· 기기의 네트워크 프로토콜은 무엇인가? 최신 상태로 유지되고 있는가?
· 표준 네트워크 모니터링 도구를 사용해 네트워크 밖에서 기기를 식별할 수 있는가? 
· 업데이트와 비밀번호 변경이 불가하거나 오래된 네트워크 프로토콜을 사용한다면, 기기 사용을 중단하라. 
· 기기가 외부 네트워크에서도 접근 가능하다면, 보안을 강화하거나 전원을 끄고 재설정하라. 


여기에 더해 컴퓨터나 데이터 스토리지 시스템과는 분리된 무선 네트워크에 커넥티드 장치를 배치하는 것도 한 방안일 수 있다. 

애플은 홈킷 기반의 스마트 홈 장치와 홈킷 지원 라우터의 보안을 확보하는 자체 솔루션을 가지고 있다. 하지만 현재 홈킷을 지원하는 라우터가 소수인 상황이다. 

개인적인 견해를 근거로 모든 라우터에는 스마트 기기 보호 기능이 내장돼야 한다. 이는 아마 애플, 구글, 아마존, 지그비 얼라이언스 등이 커넥티드 홈 오버 IP 프로젝트(Connected Homes over IP project)를 통해 지향하는 바일 것이다. 

어찌 됐든 이번 필립스 휴 문제로 조명된 IoT 보안 취약점은 커넥티드 시스템에 더 나은 보안이 필수적임을 보여주는 명백한 증거일 것이다. 

* Jonny Evans는 1999년부터 애플과 기술에 대해 기고해온 전문 저술가다. ciokr@idg.co.kr



2020.02.10

블로그ㅣ필립스 휴에서 보안 결함 발견··· IoT에 의미하는 바는?

Jonny Evans | Computerworld
최근 스마트 조명, 필립스 휴에서 보안 결함이 발견됐다. 이는 가정, 사무실, 산업 네트워크에 또 다른 커넥티드 기기를 추가할 때마다 발생할 수 있는 위험을 경고한다. 
 
ⓒⓒBen Patterson/IDG

보안 취약점이 포착된 필립스 휴
필립스 휴 스마트 조명 시스템은 아마 전 세계에서 가장 많이 설치된 스마트 홈 솔루션 중 하나일 것이다. 그렇기 때문에 보안업체 체크포인트가 2월 5일 공개한 보고서를 주목할 필요가 있다. 보고서는 필립스 휴에 보안 결함이 발견됐다고 밝혔다. 

지그비(Zigbee) 저전력 무선 프로토콜, 필립스 휴 스마트 조명, 제어 브릿지의 원격 취약점을 접속 포인트로 삼아 홈/오피스 네트워크에 침투가 가능했던 것으로 관측된다. 

스마트 조명 시스템이 다음과 같이 장악됐을 가능성이 있다고 체크포인트는 예측했다. 먼저 해커들이 조명을 제어하는 브릿지를 장악하고, 그다음 해커가 내부 네트워크에 침투할 수 있게 만드는 일련의 행위를 사용자가 하도록 속이는 것이다.

체크포인트는 이 문제점을 즉각 필립스에 통보했고, 해당 제조사는 빠르게 문제점에 대응하는 소프트웨어 패치를 배포했다. 

* 참고: 보안업체 카스퍼스키의 조사에 의하면, 지난 12개월 동안 스마트 홈 기기에 대한 공격이 약 700% 증가했다. 

왜 이런 일이 계속 발생하는가? 
이는 2014년 미국 대형 유통업체 타겟(Target)의 해킹 공격을 떠올리게 한다. 그 당시 해커들은 커넥티드 HVAC(Heating, Ventilation, and Air Conditioning) 시스템의 취약점을 사용해 수백만 개의 신용 및 직불 카드 정보를 탈취했다. 

이러한 사건은 해커가 네트워크를 침투했을 때 발생할 수 있는 일이다. 작게는 네트워크를 도청(packet-sniffing)하거나, 당신의 은행 정보를 해킹할지도 모른다. 심각하게는 근무하고 있는 발전소의 액세스 코드가 털릴 수도 있다. 

여기서 주목할 점은 타겟 해킹이 무려 6년이나 지난 지금에도 여전히 커넥티드 기기를 장악할 수 있다는 것이다. 이는 애플이 자체적인 홈킷(Homekit) 시스템을 만들고, 그 이후로 계속해서 해결하고자 시도해 온 문제다. 

제조사에 책임이 있다 
보안 결함의 책임을 필립스에 돌리고 싶진 않다. 필립스는 소식을 듣자마자 조치를 취했다. 지그비가 잘못한 것도 아니다. 모든 운영체제가 취약점을 가지고 있다는 것은 사실이고, 해당 취약점을 발견하는 것이 하나의 비즈니스이기도 하다. 

하지만 보안과 프라이버시를 대충 여기는 스마트 홈 제조사에는 책임을 묻고 싶다. 특히 취약한 기기가 가정 및 비즈니스용 스마트 기기의 중대한 보안 위협이 될 수 있기 때문이다. 보안이 우수한 스마트 기기 1만 대가 있더라도 오래된 커넥티드 온도조절기 하나면 해커가 전체 네트워크에 침투할 수 있다. 

그 때문에 제조사가 소프트웨어 및 보안 업데이트를 정기적으로 하고 있는지 확인해야 한다. 비즈니스용이든 개인 소비자용이든 관계없이 제조사가 보안 업데이트를 꾸준히 제공하지 않는다면 해당 제품을 구매해선 안 된다. 

개인 또는 기업 사용자가 할 수 있는 것은 무엇인가? 
기존에 사용하고 있는 커넥티드 기기의 목록을 만들 것을 권고한다. 그다음 아래의 항목들을 확인하라. 

· 이 기기가 최근 예상치 않은 불안정성을 보였는가?
· 펌웨어 업데이트가 가능한가?
· 최신 소프트웨어 패치가 설치됐는가?
· 소프트웨어 패치는 얼마나 정기적으로 제공되는가?
· 기기에서 기본 비밀번호를 변경할 수 있는가? 가능하다면, 변경하였는가? 
· 비밀번호에 영숫자 코드를 사용할 수 있는가? 
· 시스템이 최신 버전의 운영체제를 지원하는가?
· 기기의 네트워크 프로토콜은 무엇인가? 최신 상태로 유지되고 있는가?
· 표준 네트워크 모니터링 도구를 사용해 네트워크 밖에서 기기를 식별할 수 있는가? 
· 업데이트와 비밀번호 변경이 불가하거나 오래된 네트워크 프로토콜을 사용한다면, 기기 사용을 중단하라. 
· 기기가 외부 네트워크에서도 접근 가능하다면, 보안을 강화하거나 전원을 끄고 재설정하라. 


여기에 더해 컴퓨터나 데이터 스토리지 시스템과는 분리된 무선 네트워크에 커넥티드 장치를 배치하는 것도 한 방안일 수 있다. 

애플은 홈킷 기반의 스마트 홈 장치와 홈킷 지원 라우터의 보안을 확보하는 자체 솔루션을 가지고 있다. 하지만 현재 홈킷을 지원하는 라우터가 소수인 상황이다. 

개인적인 견해를 근거로 모든 라우터에는 스마트 기기 보호 기능이 내장돼야 한다. 이는 아마 애플, 구글, 아마존, 지그비 얼라이언스 등이 커넥티드 홈 오버 IP 프로젝트(Connected Homes over IP project)를 통해 지향하는 바일 것이다. 

어찌 됐든 이번 필립스 휴 문제로 조명된 IoT 보안 취약점은 커넥티드 시스템에 더 나은 보안이 필수적임을 보여주는 명백한 증거일 것이다. 

* Jonny Evans는 1999년부터 애플과 기술에 대해 기고해온 전문 저술가다. ciokr@idg.co.kr

X