보라빛 소를 만나기 위한 도약

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1798호(2017. 5. 31 발행)에 기고한 원고입니다.

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

밀레 식기 세척기에서 IoT 보안 취약점 발견 보도 해프닝.pdf

ž 최근 IoT(사물인터넷) 기기의 보안 중요성이 강조되는 가운데, 독일 대표가전업체 밀레(Miele)의 식기세척기에서 보안 취약점이 발견되었다는 보도로 인한 해프닝이 있었음

Ø 일부 외신은 밀레의 식기 세척기에 탑재된 웹 서버의 기능에 보안 취약점이 발견된 것 같다며, ‘디렉토리 접근공격(Directory Traversal)’을 통해 취약점이 악용되면 공개용 디렉토리 밖에 놓인 파일, 즉 공개를 허용하지 않는 파일도 외부에서 접근할 수 있게 될 위험이 있다고 보도

Ø 특히 해당 식기 세척기 모델이 병원이나 의료기관에서 많이 사용되고 있기 때문에, 해커들이 이 취약점을 공격하여 병원 및 의료 기관의 네트워크에 침입한 후 환자의 의료 기록 등 민감한 정보를 훔쳐갈 우려가 있다는 점이 강하게 부각되었음

Ø 이런 보도에 대해 밀레는 취약점이 발견된 것은 사실이지만 해당 장비인 ‘PG 8528’은 식기 세척기가 아니라 의료용 소독기(disinfect medical products)라고 해명하였음

Ø 또한 해당 의료용 소독기가 네트워크에 연결되어 있기는 하지만, 인터넷에 직접 연결되어 있지는 않기 때문에 병원·의료 기관의 네트워크 침입에 활용될 수는 없다고 반박하였음

Ø 단, 해당 기기가 연결된 네트워크에서 취약점을 공격 당하면 비밀번호 등을 도난당할 우려가 있으며, 알아 내 암호를 사용하면 해당 기기의 소프트웨어에 접근할 수 있으므로 제3자가 마음대로 소독 조작을 할 가능성은 있을 수 있다고 시인하였음

Ø 밀레가 세계적인 식기 세척기의 유명 메이커이고, 이번 사건을 보도한 언론이 기사에서 ‘식기 세척기(dishwasher)’라고 명시했기 때문에 보도 직후에는 인터넷에 연결된 식기 세척기의 보안이 취약할 경우 어떤 사고가 발생할 수 있는지에 대한 가십성 기사가 줄을 이었음

Ø 밀레의 해명 보도자료 이후 식기 세척기를 통해 홈 네트워크 상의 중요 정보가 유출된다든가 하는 위험에 대한 우려는 잠잠해졌으나, 비록 큰 사고가 발생하는 것은 아니더라도 소독기든 세척기든 내 의사와 무관하게 누군가 조작할 가능성이 있다는 점은 확인이 되었음

ž 비록 가십으로 끝나긴 했으나 이런 형태의 보안 위협은 IoT라는 말이 등장하기 전부터 있어 온 것이므로, 향후 IoT 기기의 확산을 위해서도 보안에 대한 대비책 마련은 반드시 필요

Ø 오래되었지만 이번 밀레 사례와 유사한 건으로 2004년 보도된 도시바의 HDD 탑재 DVD 레코더 RD 시리즈의 보안 취약성을 들 수 있는데, 이 제품은 HTTP 프록시 기능을 내장하고 있어 암호를 설정하지 않고 인터넷에 연결할 경우 제3자의 해킹에 악용될 우려가 제기되었음

Ø 실제 이 DVD 레코더의 프록시 기능을 악용해 블로그에 코멘트 스팸 공격(광고 유도 코멘트를 대량으로 다는 공격)을 하는 사건이 발생하기도 했음

Ø 2008년에는 스위스 유라의 커피 메이커 Impressa F90 모델은 별도의 인터넷 연결 키트가 있었는데 이 지점에서 보안 취약점이 발견되었음

Ø 연결 키트의 취약점을 이용하면 인터넷을 통해 커피의 농도와 양, 넣는 시간 등을 제3자가 마음대로 설정할 수 있게 되기 때문에, 가령 옅은 커피를 좋아하는 사람이 매번 진한 커피를 먹게 되는 불쾌한 사고가 발생할 수 있음

Ø 냉장고도 보안에 취약한데, 2015년 열린 세계 최대 보안 이벤트 데프콘(DEFCON)의 IoT 해킹 대회에서는 삼성전자의 스마트 냉장고에서 취약점이 발견되었음

Ø 이 취약점은 TLS/SSL를 지원하는 웹 서버에 접속 시 해당 인증서를 제대로 체크하지 않기 때문에 발생하는 것으로, 공격자가 정당한 웹 서버인 척하고 통신을 중계하는 중간자 공격(Man-in-the-Middle)을 하는 것이 가능하게 됨

Ø 이 냉장고는 구글 캘린더에 접속한 후 냉장고의 전면 스크린에 스케줄 등을 표시해 주는 기능이 있는데, 보안 취약점을 공격하여 캘린더 정보를 위조해 보여주거나 구글 계정의 비밀번호를 훔치는 등의 일이 가능하게 됨

Ø 이 외에도 정보 가전(IoT)의 취약점은 잇따라 발견되고 있고, IoT의 용도가 확대되면 미래에는 심각한 상황이 전개될 가능성이 있기 때문에, 개발자나 가전업체, 그리고 사용자 모두 보안 문제에 대해 심각히 인식하고 대응책을 마련해 나갈 필요가 있음

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1783호(2017. 2. 15 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

IoT 보안대응 국가 주도로 해결이 가능할까.pdf

[ 요 약 ]

◈ IoT(사물인터넷)가 현대 사회, 그리고 미래 사회에 가져올 혜택은 명백하지만, IoT 자체의 보안 취약성과 약점에 의해 사회 안전이 붕괴될 수 있다는 우려의 목소리도 높음

• 자동차가 자율 운전으로 주행하고, 집에서 수백 킬로 미터 떨어진 곳에서 현관의 키를 열고 닫거나 실내 온도를 조절한다는 이야기는 불과 몇 년 전만 해도 꿈 같은 이야기였으나, IoT로 실현되는 마법과 같은 이야기들이 최근 뉴스나 광고에 넘쳐나고 있음

• 그러나 네트워크에 물려 있는 수십억 대의 IoT 디바이스들이 보안 측면에서 불충분하다면, 사용자들을 위험에 노출시킬 뿐만 아니라 인터넷 인프라를 포함한 모든 공공 인프라와 민간 인프라에까지 위험을 미칠 수 있다는 우려는 지속적으로 제기되고 있음

• 이런 IoT 보안 위험이 실제적임을 보여주는 대표적 사례는 미국의 DNS 서비스 사업자인 ‘딘(Dyn)’이 2016년 10월에 받은 ‘분산 서비스 거부(디도스, DDoS)’ 공격임

• 이 공격으로 인한 피해는 일부 대형 사이트를 몇 시간 동안 사용할 수 없었던 불편뿐이었지만, 웹캠과 디지털 비디오 레코더 등 수백 만 대가 넘는 디바이스들로 구성된 봇넷이 실제 디도스 공격에 사용되었다는 것이 밝혀져 충격을 주었음

• IoT 디바이스들이 좀비의 예비군이 될 수 있다는 우려가 현실로 드러나게 된 것이며, 이러한 좀비 디바이스를 이용한 공격이 병원이나 국가의 중요 인프라를 표적으로 벌어진다면, 인명과 안전을 위협할 수 있음을 보여준 것임

◈ 이처럼 IoT의 보안 취약성에 따른 위협이 실재적임에도 시장 스스로 이 문제를 해결하려는 의지가 없기 때문에, 국가가 보다 적극적으로 규제에 개입해야 한다는 목소리가 나오고 있음

• 자신의 디바이스가 좀비가 되어 공격에 이용되더라도, 개인 사용자 입장에서는 가정 내의 기기가 징병 되었다는 사실을 전혀 알 수 없으므로 체감할 수 있는 피해는 별로 없음

• 제조업체에게 발생하는 피해도 없기 때문에 IoT의 취약성에 따른 보안 위험은 시장의 힘(경쟁과 소비자의 압력)에 의해 수정되고 있지 않음

• 이 때문에 국가가 보다 적극적으로 규제에 나서야 할 필요가 있다는 의견이 개진되고 있는데, 2016년 11월 16일 개최된 미 하원 에너지 상업위원회의 청문회에 출석한 업계 전문가들은 이런 취지의 진술을 하였음

• IBM에 인수된 보안 기업 리질리언트 시스템(Resilient Systems)의 최고기술책임자 브루스 슈나이어는 IoT 보안과 관련해 근본적으로 ‘시장의 실패’가 벌어지고 있으며, 기본적으로 시장은 보안보다 기능과 비용을 우선시 해왔다고 증언

• 이어 슈나이어는 보안이 부재한 상태는 ‘눈에 보이지 않는 공해의 일종’이라며, 공해와 마찬가지로 유일한 해결책은 ‘정부의 규제’라는 의견을 개진

◈ 정부의 규제를 강조한 슈나이어의 의견에 대해 업계가 모두 동의하는 것은 아니지만, 시장 자체의 노력 만으로 문제를 해결하는데 실패하고 있다는 사실은 대체적으로 인정

• 보안업체 노우비포(KnowBe4)의 CEO 스튜 스주베르만은 슈나이어의 의견에 전적으로 동의하며, 연방방통신위원회(FCC)가 IoT 기기에 요구되는 보안 표준의 최소 요구사항을 테스트하는 기관이 되어야 한다고 주장

• 예를 들어 ‘디폴트 암호를 최종 사용자가 변경하지 않으면 장치가 작동하지 않게 한다’는 등의 요구사항을 FCC가 규제화하고 검사해야 한다는 것임

• 보안업체 그린웨이브 시스템(Greenwave Systems)의 수석 엔지니어 마크 보어는 국가가 규제를 통해 문제를 해결할 수 있다는 확신은 없다면서도, 시장이 실패하고 있는 이유에 대해서는 상당 부분 동의하고 있음

• 마크 보어는 낮은 가격에 디자인이 그럴싸한 네트워크 제품들로 인해 발생하는 비용은 대개는 해당 제품의 사용자가 아닌 다른 사람들이 부담하고 있다고 지적

• 경제학자들은 이를 ‘부(負, -) 의 외부 효과’라고 부르는데 즉, 비용이 시장의 내부가 아닌 외부에 존재하므로 시장을 기반으로 하는 해결책은 작동할 수 없다는 것

• 미시건 대학의 케빈 푸 교수 역시 IoT의 위험을 수년 전부터 지적해 오고 있는데, 기기의 제조업체나 소비자 모두 보안 보다는 성능과 가격에만 더욱 더 높은 관심을 보이고 있다는 데 큰 위협이 도사리고 있다고 설명

• 아울러 은행 계좌에 대한 불법 접근이나 명의 도용보다 훨씬 큰 피해가 IoT에서 발생할 수 있음이 입증되었으므로, 자동차, 무인항공기, 의료기기, 가정용 온도계가 인터넷에 연결된 지금, 이전에는 무해였던 것이 지금은 매우 위험해졌음을 인지해야 한다고 경고

◈ IoT의 보안 대책 마련과 관련해 국가의 관여가 구체적으로 어떤 형태여야 한다는 것은 아직 명확하지 않지만, 일단 디바이스 보안 요건을 의무화 하자는 주장이 제기되고 있음

• 국가가 담당해야 할 역할에 대해 슈나이어나 푸 만큼 강하게 주장하지 않지만, ‘국가가 적절한 지침을 제시하는 역할을 할 수 있다’ 정도로 말을 아끼는 전문가들은 적지 않음

• ‘기초 보안 수칙’이라 부를 수 있는 어떤 것을 국가가 의무화 할 수 있으며, 또한 그리해야만 한다는 공감대는 형성되어 가고 있는데, 이런 기본 규칙을 통해 비록 디바이스가 완전히 방어되는 것은 아니지만 공격을 지금보다 훨씬 더 어렵게 만들 수 있다는 것

• 액센추어 시큐리티(Accenture Security)의 전무 이사 매트 디보스트는 눈에 뻔히 보이는 IoT 디바이스의 보안 위험에 대처하도록 시장에 의무를 부과하는 지점에서 국가가 중요한 역할을 할 수 있다는 견해를 밝히고 있음

• 그는 새로운 장치에 필수적인 최소한의 보안 요구사항을 설정하고 사용자가 강력한 암호를 설정하지 않으면 기기를 사용하지 못하도록 의무화한다면, 디폴트 패스워드 입력만으로 공략 당하고 있는 현재의 상황을 개선시킬 수 있다고 주장함

• 아울러, 제품에서 중요한 취약점이 발견된 경우 펌웨어를 자동으로 업데이트 하도록 하는 기능도 의무화가 필요하다고 지적

• 슈나이어 역시 국가가 IoT 업체에 최소한의 보안 기준을 의무화하고 위반한 업체에 책임을 지게 하자고 제안하는데, 이런 규제가 있다면 Dyn 같이 공격을 받은 기업이 DDoS 공격에 사용된 디바이스의 제조업체에 소를 제기할 수 있게 된다는 것

• 보안업체 OTA의 전무 이사 크레이그 스피츨은, ‘알려진 치명적 취약점을 보유한 제품의 출하를 금지하는 것’과 ‘제품의 사용가능 기간 전반에 걸쳐 보안 패치나 업데이트의 제공을 보장하는 것’을 국가가 의무화 해야 할 디바이스 요건으로 제안하고 있음

◈ 하드웨어 제조업체에 대한 규제 마련과 더불어 IoT 기기에 네트워크 접속 서비스를 제공하는 사업자를 대상으로 한 규제의 필요성을 주장하는 의견도 있음

• 민주당 상원의원 마크 워너는 2016년 10월 연방통신위원회(FCC), 연방거래위원회(FTC), 국토안보부(DHS)에 보낸 서한에서, IoT 디바이스의 보안 강화를 의무화하는 데 있어 ‘인터넷 서비스 공급자(ISP)가 역할을 할 수 없는 것인가’라는 질문을 던진 바 있음

• 예를 들어, 안전하지 않은 디바이스라면 ISP가 기기에 대한 IP 주소 할당을 거부하는 등의 방식으로 IoT 기기가 인터넷에 접속할 수 없게 하자는 것임

• 이에 대해 당시 FCC 위원장 톰 휠러는 2016년 12월의 회신에서, 현실적으로 고려해 볼 때, 한 개 ISP가 대책을 강구하더라도 상황은 별로 달라지지 않을 것이라는 견해를 표명

• 하나의 ISP가 사이버 위협에 대한 방어책을 강구하더라도 다른 ISP들이 같은 대책을 강구하지 않으면 그 효력이 약화 될 가능성이 있으며, 따라서 모든 ISP가 이러한 방어책을 강구해야 하지만, 이를 의무화하기에는 동기가 약하다고 답변

◈ 한편 IoT 보안과 관련해 시장의 실패는 인정하지만, 과거 사례에 비추어, 인터넷 보안과 관련한 어떤 요소라도 국가가 규제에 관여하는 것에 강한 경계심을 나타내는 전문가들도 있음

• 이들은 국가가 디바이스나 네트워크에 소위 ‘백도어(back door, 개구멍)’를 마련해 자신들이 원할 때 접근하고 싶어한다는 것이 지금까지의 사례를 통해 입증되었음을 지적

• 슈나이어 역시 하원위원회 진술 시, IoT의 보안을 강화하기 위해 국가의 규제가 필요하다고 주장하면서도, ‘정부가 컴퓨팅 장치의 보안을 연방수사국(FBI)의 요구에 따라 의도적으로 약화시키려는 충동에 굴복하지 않는 것이 필수적’이라고 못

박은 바 있음

• 보어 역시 사이버 보안에 정부의 개입이 필요하다는 견해를 강하게 표명하고 있지만, 그와 동일한 정도의 강경 어조로 ‘그러나 미국 정부는 무리’라고 말하고 있는데, 그 이유는 정부 스스로 인프라 보안이 제대로 보호되지 않은 사례가 반복해서 드러나고 있기 때문

• 보어는 안전하지 않은 사적 메일 서버를 각료 수준의 공무원들이 사용하는 사례를 몇 가지 거론했는데, 그 중 작년 미국 대통령 선거 과정에서 불거진 민주당 후보 힐러리 클린턴 전 국무장관의 사례는 일반인에게도 널리 알려진 사건임

• 더욱이 간과할 수 없는 문제는 지금 이 순간까지도 디바이스 보안을 약화시켜 정보수집 능력을 높이려 하는 것이 미국 정부의 방침이라는 점이라고 주장하고 있음

• 한 마디로 디바이스 및 그 이용자의 보안 침해를 목표로 하고 있는 미국 정부는 IoT의 사이버 보안을 강화하기 위한 구조를 제창할 자격이 없다는 것

◈ 지금으로서는 정부에 의해 법적 효력을 갖고 처벌을 강제하는 구체적 법규가 제정되기까지 상당한 시간일 걸릴 것으로 보이나, 관련된 움직임이 전혀 없는 것은 아님

• 미 연방거래위원회(FTC)는 2017년 1월 IoT 보안 콘테스트인 ‘IoT 홈 인스펙터 챌린지(Home Inspector Challenge)’를 개최한다고 발표하였음

• 웹사이트의 설명에 따르면, 이는 가정 내의 IoT 디바이스에 탑재되는 소프트웨어의 보안 취약점으로부터 보호하기 위한 목적으로 소비자가 사용할 수 있는 기술 도구를 만들기 위해 개최하는 공개 콘테스트임

• 정부기관의 문서 중에도 인터넷 보안을 다룬 것도 일부 있는데, 가령 미 국토안보부는 2016년 11월 IoT의 보안 원칙에 관한 문서인 ‘IoT를 보호하기 위한 전략적 원리(Strategic Principles for Securing the Internet of Things)’를 발표하였음

• 그러나 이 문서에서 정한 것은 ‘구속력 없는 원칙이며 권장되는 모범사례’라고 명시되어 있으며, 따라서 법적 효력이 없으므로 따르지 않더라도 벌칙은 부과되지 않음

• 이에 대해 비록 실효성은 없지만 정부가 추천하는 모범사례가 있다는 점에 주목할 필요가 있다는 의견과, 국토안보부의 문서를 보면 연방 정부기관들 사이에 경쟁이 있는 것처럼 보이며 현 시점에서 이 제안은 기술적이라기보다는 정치적이라는 의견이 나뉘고 있음

◈ IoT의 위험을 크게 보는 전문가들은 국가의 개입에 따른 또 다른 위협을 인지하는 것은 물론 중요하지만, 지금은 ‘행동’이 필요한 때이며 민간 영역에서의 행동 역시 필요하다고 주장

• OTA의 스피츨은 국가의 규제 마련과 강행에 따른 위험 역시 매우 크다는 것을 인정하지만, 지금은 IoT 보안 위험에 대한 대응 행동의 시작이 중요함을 지적하며, 시장의 실패라고만 하지 말고 민간 영역에서도 움직임이 필요하다고 주장

• 그에 따르면, OTA는 코스트코, 아마존, 베스트바이, 타깃 등 대형 소매유통 업체들을 대상으로 핵심적인 기본 보안 및 개인정보보호 원칙을 준수하지 않은 제품의 판매를 중지하도록 요청하는 공개 서한을 발송하였음

• 소매업체들은 아이가 다칠 수 있는 상품이나 아동 노동 착취로 만들어진 상품은 판매하지 않는다는 점을 내세우면서, 왜 이미 알려진 보안 취약점이 있는 상품은 거리낌없이 판매하면서 돈을 벌려고 하느냐는 것이 OTA의 질문임

• OTA는 보험회사들에 대해서도 제조업체의 제조물 책임에 대해 같은 맥락에서 압력을 가해 줄 것을 요청하고 있음

• OTA는 올해 1월 ‘IoT 신뢰 프레임워크(Trust Framework)’의 공개 버전 2.0(iot_trust_framework_2-8_no_fn.pdf )을 발표했는데, 이것의 목적은 ‘개발자들이 개발에 사용하는 툴, 소매업체들이 자신들이 판매하는 상품, 기업들이 자신들이 조달한 상품을 감사하고 평가하기 위한 도구를 제공하는 것’임

◈ IoT 보안에 있어 국가나 시장의 개입에 관한 논의는 지난하고 논쟁적 과정일 수 있으나, IoT의 보안에 관한 진지한 사회적 관심을 모을 수 있다는 점 만으로도 사회적 효용이 있음

• 국가 규제의 의무화가 시장에 미치는 영향은 중첩적이기 때문에 항상 논쟁적일 수밖에 없으며, 기간 인프라인 통신의 경우는 보다 다양한 이슈가 파생되므로 생산적 논쟁을 통해 합의에 이르기가 쉽지 않을 수 있음

• 게다가 국가에 의한 통신 감청과 프라이버시 침해 위협은 가능성의 영역이 아니라 현실적으로 벌어지고 있음이 계속 폭로되고 있으며, 미국의 경우 트럼프 행정부 사대에 이런 위험이 더욱 높아질 것이란 우려도 나오고 있음

• 그러나 IoT 보안 대응책 마련 논의에서 핵심적인 것은 방안 마련에 국가가 주도적으로 참여해야 하느냐의 여부가 아니라, IoT 보안 침해 위험의 중대성을 공감하고 대응책 마련이 필요하다는 사회적 합의에 우선 다다르는 것임

• 시장이 실패했으니 국가가 개입한다는 단순 논리에서 벗어나, IoT 보안 대응 방안을 협의하는 과정에서 명확한 조건 하에 국가와 민간 영역의 역할을 정의하는 것이 필요

• 이미 도입되어 사용되고 있는 불완전한 IoT 장치들이 수백 만대에 이를 것으로 추정되지만, 한가지 위안으로 삼을 수 있는 것은 이 숫자는 2020년경, 2030년경에 예상되는 IoT 기기의 수에 비하면 극히 소량에 불과할 것이라는 점

• IoT의 보안 위험은 이미 현실로 드러나고 있으며, 이에 대한 대응 방안 마련이 늦어질수록 IoT가 가져올 것으로 기대되는 혜택만큼 IoT의 취약점으로 인해 야기되는 사회적 피해도 막대할 수 있다는 점을 균형감 있게 인식하고 필요한 행동에 시급히 나설 필요가 있음

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1776호(2016. 12. 14 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

ARM IoT 보안 강화.pdf

◈ ARM의 연례 행사인 ‘ARM 테크 심포지아 2016(ARM Tech Symposia 2016)’에서 르네 하스 부회장은 소프트뱅크에 인수 된 이후의 사업 계획에 대해 기조 연설

• 기조 연설은 ARM의 IoT 전략, M&A 이후 소프트뱅크 그룹의 역할에 초점이 맞춰졌는데, 양사의 비전은 동일하며 이번 인수를 통해 ARM의 IoT 전략이 더욱 공격적으로 전개될 수 있는 환경이 구축되었다고 M&A의 의의를 평가

• 소프트뱅크와는 10년 전부터 파트너십이 형성되어 왔기 때문에, 양사의 임원들 사이에서는 ARM이 소프트뱅크 그룹 산하로 편재되는 것에 전혀 위화감이 없다고 설명

• 소프트뱅크는 ARM 인수를 추진하며 영국 정부와 인원을 두 배로 늘린다고 약속하고 있으며, 이에 따라 ARM은 향후 5년 안에 글로벌 인원을 2천명 규모로 늘릴 예정

• 일반적으로 기업 인수 시에는 조직과 인력의 구성에 효율화를 명목으로 감원을 수반하는 경우가 많지만, ARM은 IoT 전략을 추진하기 위해 고용을 늘릴 방침이라고 함

◈ ARM은 2013년과 2016년에 자체적으로 실시한 IoT 관련 보고서를 소개하며, IoT의 확산에 있어 ‘보안’이 필수적인 요소가 될 것으로 전망하였음

• ARM의 자체 보고서에 따르면 2013년 조사 때 3년 이내에 IoT를 검토하겠다고 응답 한 기업은 90% 이상에 달했으며, 2016년에 IoT가 실제로 비즈니스에 영향을 미치고 있다고 응답한 기업은 75%에 달했음

• ARM의 보고서에 따르면, IoT의 진전에 따라 보안 강화의 필요성을 검토하는 기업이 많았으며, 이에 따라 ARM에서는 IoT 장치뿐만 아니라 네트워크 및 클라우드 보안을 고려한 플랫폼 개발을 목표로 한다고 밝힘

• 하스 부회장은 구체적으로는 칩에 ‘트러스트 존(Trust Zone)’이라는 보안 기능을 탑재하여 세 가지 차원의 보안을 강화하겠다고 밝혔음 우선 ‘장치 보안’을 위해

• 첫번째는 ‘장치 보안’을 보장하는 것이고, 두 번째는 ‘통신 보안’인데, 이를 위해 통신사 등 협력업체와 연계해 암호화, 와이파이 기술, 보호 프로토콜 등을 공동 개발

•  IoT 기기는 종류에 따라서 수십 년 동안 사용되는 제품도 있으므로, 보안 업데이트 및 장치 관리를 보장하는 구조가 반드시 필요하다는 것

• IoT는 농업, 의료, 자동차 등으로 응용 범위가 점점 넓혀가고 있는데, 이들 분야는 동시에 사람의 건강과 목숨과 관계되는 분야이므로, 앞으로 모든 IoT 기기의 보안 대책 마련이 필요하다고 강조

◈ 하스 부회장은 ARM 칩의 IP(지적 재산권) 라이선스 사업에서와 마찬가지로 혁신적 IoT를 위해서도 최적의 생태계 구축이 필요할 것이라 전망

• 전형적인 수직 통합 비즈니스였던 휴대전화 사업과 달리, 스마트폰 분야는 단말기, 반도체, 앱 등 연관 업계가 생태계를 구축함으로써 성공을 거두었는데, IoT 비즈니스에서도 ARM 혼자 뭔가를 이룰 수는 없으며 다양한 산업과 연계가 필요할 것이라 말함

※ 다음 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1761호(2016. 8. 31 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

블랙햇과 데프콘_IoT와 자동차 해킹 초점.pdf

[요 약 ]

[ 본 문 ]

• 블랙햇이란 해킹 사실을 피해자에게 알리지 않고 다른 해커나 일반인에게 전파하여 해당 기관이 보안 대책을 세우기 전에 그 약점을 이용하도록 하는 해커나 크래커를 일컫는 업계 용어임

• 명칭에서 알 수 있듯, 당초 블랙햇은 해커들의 이벤트라는 색깔이 강했으나, 현재는 IBM, RSA, 마이크로소프트 등 대기업들도 참여가 허용되고 있음

• 올해 블랙햇에는 전세계 100여 개 국에서 역대 최고인 1 만 1천 명 이상의 보안 전문가와 기업 관계자가 참가했는데, 120 개 이상의 세션과 70 개 이상의 기술 교육이 열렸으며, 250 개 이상의 기업이 부스를 개설해 방문자에게 자사 제품을 어필하였음

◈ 개막 기조 연설에는 컴퓨터 보안 연구자 댄 카민스키 씨가 등단했는데, 그는 인터넷 환경의 변화 속도 증가를 지적하며 보안을 위해 소스 코드 공유를 권고

• 카민스키는 2008 년에 ‘DNS 캐시 포이즈닝(DNS Cache Poisoning Attack)’을 발표한 것으로 유명한데, 후에 ‘카민스키 공격’이라 불린 이 기법은 DNS 캐싱에 있던 취약점을 악용하여 캐시 DNS에 저장된 쿼리 정보를 위, 변조하는 것임

• 캐시 포이즈닝 공격은 도메인 이름을 탈취하여 본래 목적지로 향하는 통신을 차단하며, 이 공격을 받으면 유해 사이트로 유도하거나 이메일 내용을 도청 당할 수 있음

• 카민스키는 인터넷을 둘러싼 환경 변화 속도가 급격히 빨라지고 있음을 지적했는데, 인터넷을 이용한 여러 프로젝트들이 이전에는 1 개월 정도 실시된 것에 비해, 지금의 모바일 앱 업데이트는 몇 분 단위로 실행되고 있는 상황임

• 이런 변화의 속도를 받아들여, 보안 유지를 위한 결정을 신속하게 내릴 필요가 있다는 것이 카민스키의 주장

• 또한 그는 건전하고 안전한 인터넷 환경은 정부 및 공공기관 등의 규제에 의해 실현되는 것이 아니며, 엔지니어와 보안 전문가들이 인터넷 전반에 관한 정보를 공유하고 취약점 대책을 강구하여 실현할 것을 목표로 삼는 것이 보다 유익하다고 주장

• 웹 서비스 등의 엔지니어들이 소스 코드를 공개하기 전에 공유하여 취약점을 발견하게 되면 인터넷의 안정성은 높아지는 대신, 개발 비용을 절하고 혁신도 진전시킬 수 있다는 것

• 이러한 과제는 IoT(사물인터넷) 분야에도 해당되는데, 특히 소비자용 제품은 소스 코드의 보안 검사가 허술해 취약점을 내포한 채 출시되는 경우가 많으며, 이처럼 보안이 담보되지 않은 제품이 인터넷에 연결되면 그 제품을 트리거 한 공격 위험이 증가함

• 인터넷이나 스마트폰의 경우 등장한 지 얼마 안된 무렵에는 보안 위험을 걱정하지 않았으나, IoT는 등장하자마자 보안 위험에 노출되어 있다며, 소스 코드의 공유를 통해 제품의 보안성을 향상시킬 필요가 있다고 호소

◈ 블랙햇에서는 매번 자동차와 의료기기에 대한 해킹 사례나 소프트웨어 및 웹 서비스의 새로운 취약점이 보고 되는데, 올해도 예외는 아니었음

• 작년 대회에서는 보안 연구자 찰리 밀러와 크리스 밸러섹이 주행 중인 지프 체로키 차량에 전화선을 통한 원격 조작으로 액셀레이터과 브레이크 기능을 무력화하는 실증 실험을 선보인 바 있음

• 올해도 두 연구자는 ‘Advanced CAN injection Techniques for Vehicle Networks(차량 네트워크를 위한 개선된 CAN 인젝션)’이라는 제목으로, 차량 정보를 취득하는 ‘OBD2’ 커넥터를 통해 액셀레이터와 브레이크의 기능을 비활성화하거나 임의로 조작할 수 있음을 실증 실험을 통해 증명하였음

<자료> EE Times

[그림 2] 커넥티드 카의 노출된 약점 15개

◈ 하드웨어 전문 보안 연구자인 콜린 오플린은 필립스가 출시한 스마트 IoT 조명 시스템을 드론을 이용해 원격 해킹하는 방법을 소개

• 필립스는 집 안의 전기를 스마트폰으로 조작할 수 있는 ‘필립스 휴 시스템(Philips Hue system)’을 내놓았는데, 오플린은 10~20 미터 떨어진 곳에서 단거리 무선통신 규격인 지그비(ZigBee) 보드와 USB 전원 장치 만으로 해킹해 전기를 온·오프하는 방법을 소개

• 영상으로 공개된 데모에서 오플린은 필립스 휴 시스템을 이용하고 있는 오피스 빌딩 근처에서 직접 만든 해킹 장치를 탑재한 드론(무인 항공기)을 비행시켜, 5~6층의 전기를 점멸시키는 것을 보여주었음

◈ 개별 세션에서는 해킹 사례 외에도 사용자의 보안 의식에 관한 연구도 발표되었는데, 구글의 연구자는 인간 심리의 허점을 교묘히 찌르는 소셜 엔지니어링 기법을 소개

  ※ 발표자료 링크 : Does Dropping USB Drives In Parking Lots And Other Places Really Work?

• 구글의 엘리 부르츠타인 연구자는 소셜 엔지니어링 연구의 일환으로 ‘주차장이나 공공시설에 떨어져 있는 USB 메모리를 주운 후 자신의 PC로 연결해 보는 사람은 있는가’에 대한 조사 결과를 발표

• 조사 결과 미국 일리노이 대학 캠퍼스에 뿌려진 297 개의 USB 메모리 중 48%가 PC에 연결되어 USB 메모리에 있는 파일이 클릭되었으며, 이들 중 20%가 1 시간 이내에 50%가 7 시간 이내에 연결되었음

• 부르츠타인은 ‘USB 메모리를 사용한 공격은 대표적인 소셜 엔지니어링 공격 기법이지만, 이렇듯 단시간에 PC에 연결된다는 것은 놀라운 일’이라고 평가

• 지난 2010년 6월에 발각된 이란의 핵 시설을 겨냥한 사이버 공격 ‘스턱스넷(Stuxnet)’의 발단은 시설 내에 떨어진 USB 메모리를 통한 감염이라고 알려져 있음

• 부르츠타인은 이번 연구가 다수의 보안 사건 및 사고가 사람에 의해 발생할 수 있다는 것을 환기시킬 수 있는 연구 결과라고 총평

◈ 블랙햇 참가자들의 즐거움 중 하나는 ‘포니상(The Pwnie Award)’ 시상인데, 지난 1년 동안 보안에 기여한 연구자와 보안상 구멍이 뚫린 제품이나 서비스를 표창하는 것임

• 올해 컨퍼런스에서도 서버 및 클라이언트 접근 권한, 백도어 등 17 개 카테고리에서 각각 수상자가 표창되었음

• 서버 부문에서는 시스코 시스템즈가 자사 보안 제품인 ‘적응형 보안 어플라이언스(Adaptive Security Appliance)’에서 올해 2월 발견된 취약점으로 수상했는데, 이는 정교한 UDP 패킷을 보내면 임의의 코드를 실행시킬 수 있는 취약점임

• 시스코는 보고 즉시 ‘심각한 취약점’이라고 판단해 패치 파일을 전격 공개한 바 있으며, 이번 시상식에도 시스코 직원들이 등단해 ‘취약점을 보고한 연구원에 감사 드리며, 이를 교훈 삼아 보안을 더욱 강화하기 위해 노력하겠다’는 수상소감을 발표

◈ 한편 블랙햇 개최에 즈음해 또 하나의 국제 보안 이벤트인 "DEF CON(데프콘)"의 24번째째 행사가 블랙햇과 마찬가지로 미국 라스베이거스에서 개최되었음

• 미국의 해커 제프 모스(Jeff Moss)가 창설한 데프콘은 전세계 해커들이 해마다 모여 기술력을 겨루는 국제 대회로, 데프콘이란 명칭은 영화 ‘워게임(WarGames)’에서 따왔다고 하며, 제1회 대회는 1993년 개최되었음

• 컴퓨터 보안 관련 교수와 학생, 저널리스트, 법률가, 정부 및 민간 관계자들이 대거 참관하는 데프콘은 ‘해커 올림픽’이라고도 불림

• 데프콘은 블랙햇과 더불어 세계 최대의 보안 이벤트로 자리 매김하고 있으며, 개최 시기와 장소가 겹치는 덕분에 블랙햇 참가자의 절반 이상이 데프콘에 참여하고 있는데, 올해는 전년 대비해서도 24% 증가한 2만 2천여 명이 컨퍼런스에 참여

• 데프콘이 블랙햇과 크게 다른 점은 자원 봉사자들에 의해 운영되고 있다는 것이며, 해골 모양을 본뜬 노출된 기판으로 만든 입장 뱃지의 제작이나 ‘빌리지(village)’라 부르는 워크숍 모임의 기획·운영 모두 자원 봉사자들이 담당하고 있음

• 참가 비용에도 차이가 있는데, 블랙햇이 1,895~2,595 달러로 비교적 고가인 반면, 데프콘은 240 달러로 저렴한 편

◈ 테마별 워크숍이라 할 수 있는 데프콘의 빌리지는 다양한데, 올해 컨퍼런스에서는 전자제어 카드 키 시스템 해킹을 소개한 빌리지가 인기를 모았음

• “자동차 해킹 빌리지(Car Hacking Village)”에서는 워크샵 주최자가 자동​​차 내부 네트워크인 CAN(Car Area Network)에 공격 코드를 보내 해킹하는 기법을 소개하고, 키리스 엔트리(Keyless Entry)를 구현한 도요타의 취약점을 설명하는 등 지금까지 밝혀진 자동차 해킹의 구조 등을 다루었음

• 키리스 엔트리란 차 키를 이용해 문을 열거나 시동을 걸지 않고, 키를 몸에 키를 지니고 있기만 하면 차에 다가갈 때 문의 잠금이 해제되고, 키를 꽂지 않아도 시동 스위치를 돌리면 시동이 걸리게 만드는 시스템을 말함

• IoT 빌리지에서는 의료기기 및 가전 제품, 공공 시설에 설치되어있는 네트워크 감시 카메라 등의 취약점을 설명했는데, 실제로 일반 가정에서 사용하는 무선 랜 라우터의 취약점을 해킹하는 워크숍도 열렸음

• 빌리지 중에서 인기가 높았던 것은 “자물쇠 따기 빌리지(Lock Picking Village)”였는데, 특수 도구를 사용해 자물쇠를 따거나 호텔 등에서 이용되는 전자제어 카드 키 시스템을 해킹 하는 방법이 소개되었음

• 지난 2012년 휴스턴의 하얏트 호텔에서 카드 키 회로 기판의 취약점을 노린 사이버 공격에 의해 객실 기물 파손 사건이 여러 건 발생한 바 있음

• 카드 키의 해킹 수법은 이미 공개되어 그 대책이 강구되고 있지만, 카드 키에 적용되는 암호화 방법은 간단한 무차별 대입 공격에 깨지는 수준임에도, 취약한 카드 키 시스템을 이용하고 있는 호텔들이 여전히​​ 존재한다고 함

◈ 데프콘 24에서는 참가자들의 안이한 보안 의식에 긴장감을 주기 위해 참가자들의 PC나 스마트폰을 고의로 해킹하는 이벤트도 있었음

• 대회장에는 여러 개의 개방형 액세스 포인트(AP)가 존재했는데, 게 중에는 부주의하게 접속한 사용자의 PC나 스마트폰을 해킹하기 위한 것도 있었음

• ID나 패스워드를 암호화하지 않고 액세스 포인트에 연결할 경우 ‘Wall of Sheep(양의 벽)’이라는 대회장의 스크린에 사용자의 이름과 ID, 패스워드가 가차없이 노출되었는데, 이는 자동으로 개방형 와이파이에 접속할 경우 해킹의 위험이 있음을 환기시키기 위한 것

◈ 블랙햇 뿐만 아니라 데프콘에서도 100개 이상의 데모와 세션이 개최되었는데, 특히 커넥티드 카에 대한 해킹에 많은 관람객이 몰렸음

• 데프콘 시연회의 특징은 테마의 범위가 넓은 것인데, 자동차나 ATM(현금 자동입출금기) 등 전통적인 테마는 물론, 태양전지 패널, 웹 캠, 통신 기능을 가진 성인용품까지 해킹 대상이 되었으며, 각각의 취약점과 일부 해킹 기법이 시연과 더불어 소개되었음

• 시연회 중에서도 이목이 집중된 것은 커넥티드 카에 탑재된 레이더와 카메라를 해킹하는 시연을 상세한 설명과 곁들인 세션이었음

• 중국의 인터넷 보안업체인 ‘치후 360 테크놀로지(Qihoo 360 Technology)’에서 자동차의 사이버 보안 부문을 담당하는 패디 류 교수는 테슬라 모터스, 폭스바겐, 아우디 등의 차량이 탑재한 ‘고급 드라이빙 지원 시스템(ADAS)’을 오작동시키는 데모를 선보였음

※ 발표자료 링크 Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle

• ADAS는 레이저를 이용한 레이더인 리다(LiDAR), 초음파 센서, CCD(전하결합소자) 카메라 등을 이용해 다른 차량이나 장애물을 감지해 추돌 전에 자동 브레이크로 정지나 감속시키는 시스템

• 류 교수는 초음파 센서에 대한 ‘방해 공격’을 통해 ADAS가 장애물을 인식하지 못하게 하는 데모를 선보였는데, 방해 공격은 초음파 센서와 동일한 주파수 대역의 전파를 대상물의 근처에서 발생시킴으로써 초음파 센서를 오작동시키는 것임

• 또한 장애물을 인식하는 CCD 카메라에 일정한 파장의 빛을 비춰 주위의 장애물을 인식할 수 없게 만드는 데모도 공개했으며, 리다를 향해 유사한 패턴을 가지는 펄스 신호를 전송하여 스푸핑 하는 것도 가능하다고 소개하였음

• ADAS를 오작동 시키기 위한 가장 저렴한 도구는 초음파 센서의 음파를 흡수하는 ‘흡음 소재’인데, 류 교수는 흡음 소재를 품에 안은 사람이 자동차의 앞을 가로질러 가도 ADAS가 작동하지 않고 자동차가 계속 주행하는 영상도 소개하였음

◈ 데프콘 행사의 메인 이벤트는 상호 공격과 수비 실력을 겨루는 ‘깃발 잡기(CTF, Catch The Flag)’이지만, 올해는 인공지능이 참여해 인간과 겨룬다고 해서 화제가 되었음

• CTF는 자신들의 서버는 방어하면서 다른 팀의 서버를 공격하며, 시스템 내에 숨겨진 취약점(깃발)를 발견하고 수정하는 기술을 겨루는 경기로, 데프콘 CTF에는 전세계 각 지역의 예선을 통과한 14개 팀이 참여하였음

• 올해 데프콘 CTF에는 카네기멜론대학 ‘포올시큐어팀(Team ForAllSecure)’이 만든 슈퍼컴퓨터 ‘메이험(Mayhem)’이 본선 경연자로 참가했는데, 인공지능(AI) 슈퍼컴퓨터가 데프콘에서 인간들과 해킹 방어 대결을 펼친 것은 이번이 처음임

• 메이험은 보안 취약점 발견에는 인간 해커들보다 실력이 떨어졌지만, 취약점을 보완하고 수정하는 패치 능력은 매우 높은 수준을 보여줘 경연 참가자들을 놀라게 했으며, 향후 해킹 분야도 인공지능이 사람을 능가할 가능성이 있다는 평가를 이끌어냈음

◈ 올해는 데프콘 CTF 보다 같은 장소에서 미 국방부 방위고등연구계획국(DARPA)이 주최한 ‘사이버 그랜드 챌린지(Cyber​​ Grand Challenge, CGC)’가 더 큰 주목을 받았음

• CGC는 데프콘 행사와 관련이 없지만, CGC의 최종 결승전이 데프콘과 같은 장소에서 개최되었고, 데프콘에서도 CGC와 관련한 여러 세션이 열리면서, 자연스레 두 행사가 하나로 묶여 진행이 되었음

• DARPA는 2013년 10월에 CGC의 개최를 발표하며, ‘제로데이 공격에 신속하게 대응할 수 있는 프로그램 개발이 목적’이

라고 했는데, 취약점의 발견과 수정을 자동화함으로써 강력한 사이버 공격 자동방어 시스템을 구축하려는 정부 정책의 일환이라고 함

• CGC에 대한 미국 정부와 국방부의 관심은 대회 예산 규모에서도 드러나는데, DARPA는 CGC에 약 5,500만 달러를 투자하였음

• CGC 예선에는 미국 전국에서 104 팀이 참가하였으며, 최종적으로 7개 팀이 결승전을 벌였는데, 이 7개 팀은 사전에 DARPA가 제공 한 75만 달러의 연구지원금을 바탕으로 프로그램을 개발해 결승전에 임했음

• CGC에서 우승한 컴퓨터가 바로 카네기멜론대학 포올시큐어팀의 메이험이었으며, 우승 상금 200만 달러와 함께, 데프콘 CTF에 참가할 수 있는 기회를 부여 받았음