Offcanvas

IoT / 보안 / 소비자IT / 통신|네트워크

보이지 않는 습격··· ‘스마트 전구’가 기업 네트워크를 노리고 있다

2021.02.04 Andrada Fiscutean  |  CSO
재택근무가 증가하고 있다. 이제 기업은 스마트 전구를 비롯한 수많은 소비자용 기기로부터 스스로를 지켜야 한다. 

핀란드 지바스킬라 대학교(University of Jyvaskyla)의 사이버보안 학과 선임 강사이자 IoT 사이버보안 스타트업 바이나레닷아이오(binare.io)의 공동 창업자 안드레이 코스틴은 오래전부터 재택근무를 해 왔다. 그리고 IoT 기기의 보안에 관해서는 눈살을 찌푸릴 만한 일이 많았다고 그는 말했다. 

코스틴은 “집에서 쓰는 라우터를 교체한 적이 여러 번 있었다. IoT 기기 제조사가 보안 패치나 펌웨어 업데이트를 제공하지 않았기 때문이다”라면서, 현재의 IoT 보안은 재택근무로 변화하고 있는 업무 환경을 따라가지 못하고 있다고 지적했다. 
 
ⓒGetty Images

이어서 그는 이러한 상황에서 원격근무는 직원뿐만 아니라 기업에도 추가적인 위험을 초래할 수 있다고 덧붙였다. 코스틴은 “한 직원의 스마트폰이 VPN을 통해 회사 네트워크와 연결돼 있다고 가정해보자. 그런데 이 스마트폰이 CCTV 시스템, 피트니스 트래커, 스마트 전구와도 페어링돼 있다면? 잠재적인 악성 게이트웨이의 위험이 도사리는 셈이다”라고 설명했다. 

팔로알토 네트웍스(Palo Alto Networks) 산하 사이버보안 연구소 유닛 42(Unit 42)에서 발표한 ‘IoT 위협 보고서(IoT Threat Report)’에 따르면 무려 57%의 IoT 기기가 중위험 또는 고위험 수준의 공격에 취약하다. 

보고서는 “이 때문에 IoT가 해커들의 손쉬운 먹잇감이 되고 있다”라면서, “또한 전체 IoT 트래픽의 98%가 암호화되지 않아 네트워크상에서 기밀 데이터가 노출되고 있는 사실을 발견했다”라고 전했다. 

실제로, 노키아의 위협 인텔리전스 보고서(Threat Intelligence Report)에 따르면 2020년 모바일 네트워크에서 탐지된 전체 감염 사례 가운데 32.72%가 IoT 기기를 대상으로 일어났다. 이는 2019년도(16.7%)와 비교하면 약 2배가량 증가한 수치다. 보고서는 앞으로도 IoT 제품 구매가 늘어날 것이기 때문에 이 수치 역시 계속해서 ‘극적으로’ 증가할 것이라고 진단했다. 

그리고 이제, 많은 사람이 재택근무를 하고 있다. 이는 곧 직원들이 라우터나 스마트폰에 소비자용 기기를 연결할 때마다 잠재적인 공격 표면이 확대된다는 뜻이기도 하다. 코스틴은 “소비자들이 많이 구매하는 스마트 전구와 같은 IoT 기기의 보안은 엔터프라이즈급 장비는 당연하고, 심지어는 일반 PC, 노트북, 스마트폰보다도 훨씬 더 떨어진다”라고 언급했다. 

최근까지만 해도 가정용 IoT 기기의 보안은 사용자의 몫이었다. 하지만 이제는 상황이 달라졌다. 여러 인터넷 업체와 기업이 나서서 솔루션을 내놓고 있다(쉽게 적용하기 쉬운 것들도 많다). 

일반 사용자는 ‘위험’을 잘 판단하지 못한다
물론 사무실과 집의 경계는 이미 예전부터 무너지기 시작했다. 2020년의 대대적인 변화를 계기로 그 속도가 더욱더 빨라졌을 뿐이다. 그러나 많은 기업이 원격근무로 늘어난 공격 표면에 대처할 준비가 되어 있지 않은 것으로 보인다. 

컴캐스트(Comcast)의 ‘사이버 건강 보고서(Cyber Health Report)’에 따르면 설문조사에 참여한 전체 응답자의 86%가 새로운 일상(New normal)으로 인해 가정용 인터넷을 더 많이 사용하고 있다고 밝혔다. 한편 AT&T가 진행한 설문조사에서는 아태지역 기업 가운데 64%가 원격근무 확대로 공격에 더욱더 취약해졌다고 답했다. 

직원들은 집에서 수많은 IoT 기기에 사용되는 것과 동일한 ISP 회선을 업무에서도 쓰는데, 이들 IoT 기기 중에는 보안 패치가 제대로 적용되지 않은 것도 있다. 

컴캐스트는 미국의 일반적인 가정에 있는 스마트 기기가 평균 12개이며, 많은 경우 35대나 된다고 밝혔다. 컴캐스트의 CISO 누푸 데이비스는 “눈에 보이지 않는 IoT 기기가 많다. 배경에 묻혀 있다시피 하기 때문이다”라고 언급했다. 

이러한 기기에서 보안 기능을 찾아보기란 하늘의 별 따기다. 코스틴은 “이런 기기들은 비교적 가격이 저렴하고, 영세한 업체에서 제작된다. 또한 이들 시장은 경쟁이 매우 치열하다”라고 설명했다.

게다가 대부분의 사용자는 IoT 기기가 공격당하는 빈도를 과소평가하는 경향이 있다. 컴캐스트의 조사에 따르면 사용자가 생각하는 한 달 기준 공격 횟수는 평균 12회이지만 현실은 9배 더 자주 발생한다. 또한 기업들이 재택근무 체제를 시행한다고 결정하자마자, 커넥티드 홈 관련 공격이 약 12% 증가한 것으로 나타났다고 컴캐스트는 전했다. 

데이비스는 “우리가 ‘하고 있다고 생각하는 것’과 ‘실제로 하는 것’ 사이에 간극이 있다”라고 지적하면서, “컴캐스트 보고서에 따르면 전체 응답자의 85%가 홈 네트워크를 보호하기 위해 필요한 모든 보안 조치를 취하고 있다고 말한 반면, IoT 기기의 펌웨어 업데이트를 등한시해 해킹에 무방비 상태라는 것을 인정한 응답자도 많았다”라고 말했다.  

그는 “마치 다이어트와 운동 같다. 해야 할 일이 무엇인지 알고 있지만 그 일이 어려워지는 순간 쉽게 그만둬버리곤 한다. 이게 바로 과제다”라고 언급했다. 

사용자, 서비스 업체, 회사가 네트워크를 안전하게 지키는 방법
기업 네트워크가 안전한 피난처였던 적은 없긴 하지만, 원격근무 체제로 전환되면서 분산된 모든 네트워크를 안전하게 지키는 과정은 더욱더 어려워졌다. 

이와 관련해 유럽연합사이버보안국(European Union Agency for Cybersecurity)에서는 재택근무자를 위한 권고사항을 발표하기도 했다. 이를테면 장시간 사용하지 않는 기기는 전원을 끄고 플러그를 뽑아 공격 표면을 줄이고, 기기를 버리기 전에는 공장 초기화를 하라는 것 등이다. 

데이비스도 가능하다면 다중 인증(MFA)을 항상 사용하고, 보안 패치가 릴리즈되는 즉시 다운로드 받을 수 있도록 기기의 자동 업데이트 기능을 켜놓으라고 권고했다. 

또한 (현재 사용 중인) 인터넷 서비스 업체에서 제공하는 보안 도구를 사용하는 것이 좋다고 그는 덧붙였다. 예를 들어 컴캐스트의 엑스피니티 어드밴스드 시큐리티(xFi Advanced Security)를 사용하면 대시보드를 통해 집을 모니터링하고, 기기 가운데 하나가 이상 작동을 보일 경우 실시간 알림을 받을 수 있다.  

이를테면 고객이 스마트 온도조절 장치를 설치한다고 가정해보자. 엑스피니티 어드밴스드 시큐리티는 제조사명, 모델 번호, 소프트웨어 버전을 인식한다. 그다음 인공지능을 사용해 각 장치의 정상적인 작동이 어떻게 되는지 학습한다. 만약 문제가 발생하면 트래픽이 집으로 들어오기 전에 사용자의 광대역 게이트웨이에서 위협을 실시간으로 차단한다. 

또한 컴캐스트는 보안을 한층 더 강화하고자 IoT 기기를 대상으로 디지털 인증서를 지원하는 자사 서비스(xPKI)를 오픈소스화했다. 회사에 따르면 개별 xPKI 인증서는 제조 시점에 각 제품에 안전하게 내장된다. 

최근 이슈가 됐던 ‘솔라윈즈(SolarWinds) 해킹 사건’처럼 공격자들의 표적이 되는 경우가 잦은 공급망의 경우, 컴캐스트는 기기의 하드웨어부터 운영체제, 애플리케이션까지 모두 보호하는, 즉 ‘칩에서 클라우드에 이르는(Chip-to-Cloud)’ 보안을 지원한다고 밝혔다. 

컴캐스트의 한 관계자는 “특수 보안 칩을 사용하여 클라우드까지 안전한 터널을 구축할 수 있도록 설계된 보안 프레임워크가 바로 '3CS(Chip-to-Cloud Continuous Security)'다”라면서, “이 프레임워크를 사용하면 특수 칩에서 클라우드 서비스까지 안전한 터널이 구축되므로 시스템 프로세서와 메인 메모리를 포함한 운영체제의 나머지 부분을 안전하게 만든다. 이를 통해 메모리 공격, 부채널 공격, 비즈니스 로직 오류를 예방할 수 있다”라고 설명했다. 

IoT 기기의 보안을 강화할 책임이 비단 인터넷 서비스 업체와 사용자에게만 있는 건 아니다. 코스틴은 기업도 나서야 한다고 강조했다.

그는 “기업이 할 수 있는 일을 한 가지 제안하자면, 직원들로 하여금 원격근무 전용으로 별도의 네트워크를 설치할 수 있도록 그리고 가정용 기기에 사용할 별도의 네트워크를 설치할 수 있도록 추가 ISP 회선 비용을 충당해주는 것이다”라고 조언했다. 

코스틴은 “만약 모든 것이 하나의 ISP 라우터/모뎀을 통해 지나간다면, 해당 라우터/모뎀이 VPN을 통해 기업 네트워크와 직접적으로 연결되지 않도록 조치해야 한다. 그렇게 되면 해킹된 소비자 기기에서 오는 공격에 기업 네트워크가 더 많이 노출될 수 있다”라고 말했다.  

마지막으로 그는 재택근무 환경 설정과 관련된 정보를 온라인에 게시하지 말라고 권고했다. 표적 공격을 감행할 수 있는 잠재적 해커들에게 힌트를 줄 수 있기 때문이라는 게 그의 설명이다. ciork@idg.co.kr

 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.