유명 사물 인터넷(Internet of things: IoT) 관련 하드웨어에 악의적인 해커들에 이용될만한 보안 취약점이 대거 담겨 있다는 조사 결과가 나왔다. 시장에서 인기있는 개인용 IoT 기기 10개에 250개의 보안 취약점이 있다는 지적이다. 개당 10개씩의 취약점이 발견된 셈이다.
리코드가 지난 29일(현지시각) HP 포티파이 애플리케이션 보안 사업부 조사 결과를 인용해 이같이 보도했다.
HP는 조사에서 구체적인 제품 이름은 언급하지 않았다. 그러나 TV, 웹캠, 가정용 자동온도조절장치, 원격 전력 아웃렛, 스프링클러 콘트롤러, 복수 기기 제어 허브, 도어락, 가정용 알람, 차고 개폐 시스템 등이 포함됐다고 리코드는 전했다.
이들 기기는 대부분 리눅스 운영체제(OS)를 소형 기기에 맞체 뜯어고친 플랫폼을 기반으로 돌아간다. 그런만큼, 서버나 리눅스 기반 PC에서 생각할 수 있는 기본적인 보안상의 우려가 있을 수 있다. 문제는 기기 개발자들이 보안에 대한 신경을 쓰지 않는다는 점이다.
HP 조사에 따르면 10개 기기중 8개가 1234보다 강한 비밀번호를 요구하지 않았다. 7개는 인터넷이나 로컬 네트워크와 커뮤니케이션할때 암호화가 이뤄지지 않았고 6개 기기는 인터페이스에 크로스 사이트 스크립팅 공격에 직면할 수 있는 보안 취약점이 존재했다.
6개 기기는 소프트웨어 업데이트에 따른 다운로드시 암호화가 이뤄지지 않았다. 이것은 악성 공격자가 합법적인 것처럼 보이는 SW업데이트를 만들수 있다는 점에서 주목할만하다.
관련기사
- IBM, 보안업체 크로스아이디어스 인수2014.08.04
- 가상환경 성능 저하 요인 1위는 보안 솔루션2014.08.04
- MS 샤크 코브, IoT시대 '윈텔' 동맹의 재림?2014.08.04
- IoT 시대를 맞이하는 닷컴기업의 자세2014.08.04
HP의 마이크 아르미스테드 부사장은 제조 업체들이 가장 기본적인 공격에 대한 보안 조치를 취하지 않고 제품을 시장에 내놓고 있다고 지적했다.
하나의 기기가 침해를 당하면 다른 기기까지 공격에 휩싸일 수 있다는 점도 문제로 지적된다. 리코드는 7천만명의 사용자 정보가 유출된 유통 업체 타킷 사례의 경우 매장에서 열과 통풍을 관리하는 시스템에 대한 공격이 발단이었다고 전했다.
