※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1761호(2016. 8. 31 발행)에 기고한 원고입니다.
▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.
블랙햇과 데프콘_IoT와 자동차 해킹 초점.pdf
[요 약 ]
매년 8월 초에는 세계 양대 정보 보안 컨퍼런스인 ‘블랙햇(BlackHat)’과 ‘데프콘(DEF CON)이
개최되어, 업계 관계자들이 모여 해킹의 최신 트렌드와 이에 대한 대응 방안을 논의함. 올해 두 행사에서는 커넥티드 카와 자율주행차에 대한 해킹, 스마트
홈과 IoT에 대한 해킹 가능성이 큰 관심을 모았으며 활발한 논의가 이루어졌음. 아울러 데프콘에서는 인간과 인공지능 간 해킹 실력 경연이 벌어져, 향후
인공지능에 의한 사이버공격 자동방어 시스템의 출현을 예고하였음
|
[ 본 문 ]
◈ 세계 최대 연례 정보 보안 컨퍼런스인
“블랙햇
(Black Hat)”의
19번째
행사가
8월 초 미국 라스베이거스에서 개최
• 블랙햇이란 해킹 사실을 피해자에게 알리지
않고 다른 해커나 일반인에게 전파하여 해당 기관이 보안 대책을 세우기 전에 그 약점을 이용하도록 하는 해커나 크래커를 일컫는 업계 용어임
<자료> Hacker Post
[그림 1] 역대
최대 인원 참가, 블랙햇 2016
|
• 명칭에서 알 수 있듯, 당초 블랙햇은 해커들의 이벤트라는 색깔이 강했으나, 현재는 IBM, RSA, 마이크로소프트 등 대기업들도 참여가 허용되고 있음
• 올해 블랙햇에는 전세계 100여 개 국에서 역대 최고인 1 만 1천 명 이상의 보안 전문가와 기업 관계자가 참가했는데, 120 개
이상의 세션과 70 개 이상의 기술 교육이 열렸으며, 250 개
이상의 기업이 부스를 개설해 방문자에게 자사 제품을 어필하였음
◈ 개막 기조 연설에는 컴퓨터 보안 연구자 댄 카민스키 씨가 등단했는데, 그는
인터넷 환경의 변화 속도 증가를 지적하며 보안을 위해 소스 코드 공유를 권고
• 카민스키는 2008 년에 ‘DNS
캐시 포이즈닝(DNS Cache Poisoning Attack)’을 발표한 것으로 유명한데, 후에
‘카민스키 공격’이라
불린 이 기법은 DNS 캐싱에 있던 취약점을 악용하여 캐시 DNS에
저장된 쿼리 정보를 위, 변조하는 것임
• 캐시 포이즈닝 공격은 도메인 이름을 탈취하여
본래 목적지로 향하는 통신을 차단하며, 이 공격을 받으면 유해 사이트로 유도하거나 이메일 내용을 도청
당할 수 있음
• 카민스키는 인터넷을 둘러싼 환경 변화 속도가
급격히 빨라지고 있음을 지적했는데, 인터넷을 이용한 여러 프로젝트들이 이전에는 1 개월 정도 실시된 것에 비해, 지금의 모바일 앱 업데이트는 몇
분 단위로 실행되고 있는 상황임
• 이런 변화의 속도를 받아들여, 보안 유지를 위한 결정을 신속하게 내릴 필요가 있다는 것이 카민스키의 주장
• 또한 그는 건전하고 안전한 인터넷 환경은
정부 및 공공기관 등의 규제에 의해 실현되는 것이 아니며, 엔지니어와 보안 전문가들이 인터넷 전반에
관한 정보를 공유하고 취약점 대책을 강구하여 실현할 것을 목표로 삼는 것이 보다 유익하다고 주장
• 웹 서비스 등의 엔지니어들이 소스 코드를
공개하기 전에 공유하여 취약점을 발견하게 되면 인터넷의 안정성은 높아지는 대신, 개발 비용을 절하고
혁신도 진전시킬 수 있다는 것
• 이러한 과제는 IoT(사물인터넷) 분야에도 해당되는데, 특히 소비자용 제품은 소스 코드의 보안 검사가 허술해 취약점을 내포한 채 출시되는 경우가 많으며, 이처럼 보안이 담보되지 않은 제품이 인터넷에 연결되면 그 제품을 트리거 한 공격 위험이 증가함
• 인터넷이나 스마트폰의 경우 등장한 지 얼마
안된 무렵에는 보안 위험을 걱정하지 않았으나, IoT는 등장하자마자 보안 위험에 노출되어 있다며, 소스 코드의 공유를 통해 제품의 보안성을 향상시킬 필요가 있다고 호소
◈ 블랙햇에서는 매번 자동차와 의료기기에 대한 해킹 사례나 소프트웨어 및 웹 서비스의 새로운 취약점이 보고 되는데, 올해도 예외는 아니었음
• 작년 대회에서는 보안 연구자 찰리 밀러와
크리스 밸러섹이 주행 중인 지프 체로키 차량에 전화선을 통한 원격 조작으로 액셀레이터과 브레이크 기능을 무력화하는 실증 실험을 선보인 바 있음
<자료> WIRED
[동영상] 찰리 밀러와 크리스 밸러섹의 지프 체로키 해킹
|
• 이 데모의 영향으로 자동차 대기업 피아트
·크라이슬러
·오토
모빌스
(FCA)는
140 만 대의 지프 체로키 차량을 리콜
수리 중에 있음
• 올해도 두 연구자는 ‘Advanced CAN injection
Techniques for Vehicle Networks(차량 네트워크를 위한 개선된 CAN 인젝션)’이라는 제목으로, 차량 정보를 취득하는 ‘OBD2’ 커넥터를 통해 액셀레이터와 브레이크의
기능을 비활성화하거나 임의로 조작할 수 있음을 실증 실험을 통해 증명하였음
<자료> EE Times
[그림 2] 커넥티드 카의 노출된 약점 15개
◈ 하드웨어 전문 보안 연구자인 콜린 오플린은 필립스가 출시한 스마트 IoT 조명
시스템을 드론을 이용해 원격 해킹하는 방법을 소개
<자료> BlackHat
[그림 3] 오플린의
자작 IoT 해킹 도구
|
• 필립스는 집 안의 전기를 스마트폰으로 조작할
수 있는 ‘필립스 휴 시스템(Philips Hue
system)’을 내놓았는데, 오플린은 10~20 미터 떨어진 곳에서 단거리 무선통신 규격인 지그비(ZigBee) 보드와 USB 전원 장치 만으로 해킹해 전기를 온·오프하는 방법을 소개
• 영상으로 공개된 데모에서 오플린은 필립스
휴 시스템을 이용하고 있는 오피스 빌딩 근처에서 직접 만든 해킹 장치를 탑재한 드론(무인 항공기)을 비행시켜, 5~6층의 전기를 점멸시키는 것을 보여주었음
◈ 개별 세션에서는 해킹 사례 외에도 사용자의 보안 의식에 관한 연구도 발표되었는데, 구글의
연구자는 인간 심리의 허점을 교묘히 찌르는 소셜 엔지니어링 기법을 소개
※ 발표자료 링크 : Does Dropping USB Drives In Parking Lots And Other Places Really Work?
• 구글의 엘리 부르츠타인 연구자는 소셜 엔지니어링
연구의 일환으로 ‘주차장이나 공공시설에 떨어져 있는 USB 메모리를 주운 후 자신의 PC로 연결해 보는 사람은 있는가’에 대한 조사 결과를 발표
• 조사 결과 미국 일리노이 대학 캠퍼스에
뿌려진 297 개의 USB 메모리 중 48%가 PC에 연결되어 USB 메모리에
있는 파일이 클릭되었으며, 이들 중 20%가 1 시간 이내에 50%가 7 시간
이내에 연결되었음
• 부르츠타인은 ‘USB 메모리를 사용한 공격은 대표적인
소셜 엔지니어링 공격 기법이지만, 이렇듯 단시간에 PC에
연결된다는 것은 놀라운 일’이라고 평가
• 지난 2010년 6월에 발각된 이란의 핵 시설을 겨냥한 사이버 공격 ‘스턱스넷(Stuxnet)’의 발단은 시설 내에 떨어진 USB 메모리를
통한 감염이라고 알려져 있음
• 부르츠타인은 이번 연구가 다수의 보안 사건
및 사고가 사람에 의해 발생할 수 있다는 것을 환기시킬 수 있는 연구 결과라고 총평
<자료> BlackHat
[그림 4] USB 고의 분실을 통한 해킹 |
◈ 블랙햇 참가자들의 즐거움 중 하나는 ‘포니상(The Pwnie Award)’ 시상인데, 지난 1년 동안 보안에 기여한 연구자와 보안상 구멍이 뚫린 제품이나
서비스를 표창하는 것임
• 올해 컨퍼런스에서도 서버 및 클라이언트
접근 권한, 백도어 등 17 개 카테고리에서 각각 수상자가
표창되었음
• 서버 부문에서는 시스코 시스템즈가 자사
보안 제품인 ‘적응형 보안 어플라이언스(Adaptive
Security Appliance)’에서 올해 2월 발견된 취약점으로 수상했는데, 이는 정교한 UDP 패킷을 보내면 임의의 코드를 실행시킬 수 있는 취약점임
• 시스코는 보고 즉시 ‘심각한 취약점’이라고
판단해 패치 파일을 전격 공개한 바 있으며, 이번 시상식에도 시스코 직원들이 등단해 ‘취약점을 보고한 연구원에 감사 드리며, 이를
교훈 삼아 보안을 더욱 강화하기 위해 노력하겠다’는 수상소감을 발표
◈ 한편 블랙햇 개최에 즈음해 또 하나의 국제 보안 이벤트인 "DEF CON(데프콘)"의 24번째째 행사가 블랙햇과 마찬가지로 미국 라스베이거스에서
개최되었음
• 미국의 해커 제프 모스(Jeff Moss)가 창설한 데프콘은 전세계 해커들이 해마다 모여 기술력을 겨루는 국제 대회로, 데프콘이란 명칭은 영화 ‘워게임(WarGames)’에서 따왔다고 하며, 제1회 대회는 1993년
개최되었음
• 컴퓨터 보안 관련 교수와 학생, 저널리스트, 법률가, 정부
및 민간 관계자들이 대거 참관하는 데프콘은 ‘해커 올림픽’이라고도 불림
• 데프콘은 블랙햇과 더불어 세계 최대의 보안
이벤트로 자리 매김하고 있으며, 개최 시기와 장소가 겹치는 덕분에 블랙햇 참가자의 절반 이상이 데프콘에
참여하고 있는데, 올해는 전년 대비해서도 24% 증가한 2만 2천여 명이 컨퍼런스에 참여
<자료> Inverse
[그림 5] 데프콘 24의 해골 뱃지들
|
• 데프콘이 블랙햇과 크게 다른 점은 자원 봉사자들에
의해 운영되고 있다는 것이며, 해골 모양을 본뜬 노출된 기판으로 만든 입장 뱃지의 제작이나 ‘빌리지(village)’라 부르는 워크숍 모임의 기획·운영 모두 자원 봉사자들이 담당하고 있음
• 참가 비용에도 차이가 있는데, 블랙햇이 1,895~2,595 달러로 비교적 고가인 반면, 데프콘은 240 달러로 저렴한 편
◈ 테마별 워크숍이라 할 수 있는 데프콘의 빌리지는 다양한데, 올해 컨퍼런스에서는
전자제어 카드 키 시스템 해킹을 소개한 빌리지가 인기를 모았음
• “자동차 해킹 빌리지(Car Hacking
Village)”에서는 워크샵 주최자가 자동차 내부 네트워크인 CAN(Car Area
Network)에 공격 코드를 보내 해킹하는 기법을 소개하고, 키리스 엔트리(Keyless Entry)를 구현한 도요타의 취약점을 설명하는 등 지금까지 밝혀진 자동차 해킹의 구조 등을 다루었음
• 키리스 엔트리란 차 키를 이용해 문을 열거나
시동을 걸지 않고, 키를 몸에 키를 지니고 있기만 하면 차에 다가갈 때 문의 잠금이 해제되고, 키를 꽂지 않아도 시동 스위치를 돌리면 시동이 걸리게 만드는 시스템을 말함
• IoT 빌리지에서는
의료기기 및 가전 제품, 공공 시설에 설치되어있는 네트워크 감시 카메라 등의 취약점을 설명했는데, 실제로 일반 가정에서 사용하는 무선 랜 라우터의 취약점을 해킹하는 워크숍도 열렸음
• 빌리지 중에서 인기가 높았던 것은 “자물쇠 따기 빌리지(Lock Picking
Village)”였는데, 특수 도구를 사용해 자물쇠를 따거나 호텔 등에서 이용되는 전자제어 카드 키 시스템을 해킹 하는 방법이 소개되었음
• 지난 2012년
휴스턴의 하얏트 호텔에서 카드 키 회로 기판의 취약점을 노린 사이버 공격에 의해 객실 기물 파손 사건이 여러 건 발생한 바 있음
• 카드 키의 해킹 수법은 이미 공개되어 그
대책이 강구되고 있지만, 카드 키에 적용되는 암호화 방법은 간단한 무차별 대입 공격에 깨지는 수준임에도, 취약한 카드 키 시스템을 이용하고 있는 호텔들이 여전히 존재한다고 함
◈ 데프콘 24에서는 참가자들의 안이한 보안 의식에 긴장감을 주기 위해 참가자들의 PC나 스마트폰을 고의로 해킹하는 이벤트도 있었음
<자료> Peerlyst
[그림 6] 공개
와이파이 이용자에 대한 해킹
|
• 대회장에는 여러 개의 개방형 액세스 포인트(AP)가 존재했는데, 게 중에는 부주의하게 접속한 사용자의 PC나 스마트폰을 해킹하기 위한 것도 있었음
• ID나
패스워드를 암호화하지 않고 액세스 포인트에 연결할 경우 ‘Wall
of Sheep(양의 벽)’이라는
대회장의 스크린에 사용자의 이름과 ID, 패스워드가 가차없이 노출되었는데, 이는 자동으로 개방형 와이파이에 접속할 경우 해킹의 위험이 있음을 환기시키기 위한 것
◈ 블랙햇 뿐만 아니라 데프콘에서도 100개 이상의 데모와 세션이 개최되었는데, 특히 커넥티드 카에 대한 해킹에 많은 관람객이 몰렸음
• 데프콘 시연회의 특징은 테마의 범위가 넓은
것인데, 자동차나 ATM(현금 자동입출금기) 등 전통적인 테마는 물론, 태양전지 패널, 웹 캠, 통신 기능을 가진 성인용품까지 해킹 대상이 되었으며, 각각의 취약점과 일부 해킹 기법이 시연과 더불어 소개되었음
• 시연회 중에서도 이목이 집중된 것은 커넥티드
카에 탑재된 레이더와 카메라를 해킹하는 시연을 상세한 설명과 곁들인 세션이었음
• 중국의 인터넷 보안업체인 ‘치후 360 테크놀로지(Qihoo 360 Technology)’에서
자동차의 사이버 보안 부문을 담당하는 패디 류 교수는 테슬라 모터스, 폭스바겐, 아우디 등의 차량이 탑재한 ‘고급 드라이빙 지원 시스템(ADAS)’을 오작동시키는 데모를 선보였음
※ 발표자료 링크 Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle
• ADAS는
레이저를 이용한 레이더인 리다(LiDAR), 초음파 센서, CCD(전하결합소자) 카메라 등을 이용해 다른 차량이나 장애물을 감지해 추돌 전에 자동 브레이크로 정지나 감속시키는 시스템
<자료> Jianhao Liu
[그림 7] 자동차
ADAS 시스템에 대한 스푸핑 공격(위)과 흡음소재를 이용한 교란(아래)
|
• 또한
ADAS는 차고로 들어갈 때에는 초음파 센서로 주변을 감시하고 후방 충돌을 피하기 위해 핸들 조작을 지원하는 기능도 가지고 있는데
, 최근 자율주행을 지향하는 모델에 탑재되는 핵심 부품들이기 때문에 해킹 여부에 지대한 관심이 쏠리고 있는 것
• 류 교수는 초음파 센서에 대한 ‘방해 공격’을
통해 ADAS가 장애물을 인식하지 못하게 하는 데모를 선보였는데, 방해
공격은 초음파 센서와 동일한 주파수 대역의 전파를 대상물의 근처에서 발생시킴으로써 초음파 센서를 오작동시키는 것임
• 또한 장애물을 인식하는 CCD 카메라에 일정한 파장의 빛을 비춰 주위의 장애물을 인식할 수 없게 만드는 데모도 공개했으며, 리다를 향해 유사한 패턴을 가지는 펄스 신호를 전송하여 스푸핑 하는 것도 가능하다고 소개하였음
• ADAS를
오작동 시키기 위한 가장 저렴한 도구는 초음파 센서의 음파를 흡수하는 ‘흡음
소재’인데, 류 교수는 흡음 소재를 품에
안은 사람이 자동차의 앞을 가로질러 가도 ADAS가 작동하지 않고 자동차가 계속 주행하는 영상도 소개하였음
◈ 데프콘 행사의 메인 이벤트는 상호 공격과 수비 실력을 겨루는 ‘깃발 잡기(CTF, Catch The Flag)’이지만, 올해는 인공지능이 참여해
인간과 겨룬다고 해서 화제가 되었음
• CTF는
자신들의 서버는 방어하면서 다른 팀의 서버를 공격하며, 시스템 내에 숨겨진 취약점(깃발)를 발견하고 수정하는 기술을 겨루는 경기로, 데프콘 CTF에는 전세계 각 지역의 예선을 통과한 14개 팀이 참여하였음
• 올해 데프콘 CTF에는 카네기멜론대학 ‘포올시큐어팀(Team ForAllSecure)’이 만든 슈퍼컴퓨터 ‘메이험(Mayhem)’이 본선 경연자로 참가했는데, 인공지능(AI) 슈퍼컴퓨터가 데프콘에서 인간들과 해킹 방어 대결을 펼친 것은 이번이 처음임
• 메이험은 보안 취약점 발견에는 인간 해커들보다
실력이 떨어졌지만, 취약점을 보완하고 수정하는 패치 능력은 매우 높은 수준을 보여줘 경연 참가자들을
놀라게 했으며, 향후 해킹 분야도 인공지능이 사람을 능가할 가능성이 있다는 평가를 이끌어냈음
◈ 올해는 데프콘 CTF 보다 같은 장소에서 미 국방부 방위고등연구계획국(DARPA)이 주최한 ‘사이버 그랜드 챌린지(Cyber
Grand Challenge, CGC)’가 더 큰 주목을 받았음
• CGC는
데프콘 행사와 관련이 없지만, CGC의 최종 결승전이 데프콘과 같은 장소에서 개최되었고, 데프콘에서도 CGC와 관련한 여러 세션이 열리면서, 자연스레 두 행사가 하나로 묶여 진행이 되었음
<자료> DARPA
[그림 8] 인공지능
해킹 경영대회 CGC, 맨오른쪽이 메이험
|
•
CGC의
기본 규칙은 일반
CTF와 마찬가지로
, 시스템의 취약점을
찾아 내고 수정하면서 다른 팀의 시스템을 공격하는데
, CGC의 특징은 이러한 일련의 작업을 컴퓨터가
자율적으로 수행하도록 하는 데 있음
• DARPA는 2013년 10월에 CGC의
개최를 발표하며, ‘제로데이 공격에 신속하게 대응할 수
있는 프로그램 개발이 목적’이
라고 했는데, 취약점의 발견과 수정을 자동화함으로써 강력한 사이버 공격 자동방어 시스템을 구축하려는 정부 정책의 일환이라고
함
• CGC에
대한 미국 정부와 국방부의 관심은 대회 예산 규모에서도 드러나는데, DARPA는 CGC에 약 5,500만 달러를 투자하였음
• CGC 예선에는
미국 전국에서 104 팀이 참가하였으며, 최종적으로 7개 팀이 결승전을 벌였는데, 이 7개
팀은 사전에 DARPA가 제공 한 75만 달러의 연구지원금을
바탕으로 프로그램을 개발해 결승전에 임했음
• CGC에서 우승한 컴퓨터가 바로 카네기멜론대학 포올시큐어팀의 메이험이었으며, 우승 상금 200만 달러와 함께,
데프콘 CTF에 참가할 수 있는 기회를 부여 받았음