사물인터넷(IoT)이 주목받고 있지만 스마트홈을 위해 사용되는 기기들의 경우 기본적인 보안조치도 되지 않은 경우가 대부분이라는 조사 결과가 나왔다.
시만텍은 50여가지 스마트홈 기기를 분석한 결과 다수 기기가 인증 취약점, 웹 취약점 등을 악용한 공격에 취약해 보완이 시급하다고 16일 밝혔다.
시장조사업체 가트너에 따르면 올해 IoT 기반 스마트홈 기기 수는 29억대에 달할 것으로 전망된다. 이 중 시만텍은 스마트 온도 조절 장치, 스마트 잠금 장치, 스마트 전구, 스마트 연기 감지기, 스마트 에너지 관리 기기, 스마트 허브 등 50가지 스마트홈 기기의 보안 상태를 분석했다.
스마트홈 기기는 백엔드 클라우드 서비스를 통해 사용량을 모니터링 하거나 사용자가 원격에서 시스템을 제어할 수 있도록 한다. 사용자들은 모바일 애플리케이션(앱)이나 웹을 통해 스마트홈 기기를 제어하거나 데이터에 접근할 수 있다.
조사 결과 IoT 기기를 제어하는 모바일앱의 약 20%가 암호화 통신(SSL)을 사용하지 않고 있었다.
시만텍의 분석에 따르면 대부분 스마트홈 기기와 서비스에서 ▲취약한 인증 ▲웹 취약점 ▲로컬 공격 ▲잠재적인 공격 가능성 등 기본적인 보안 문제가 발견됐다.
먼저 50가지의 기기 중 상호 인증을 사용하거나 강력한 비밀번호를 설정한 기기는 한 대도 없었다. 더구나 클라우드 인터페이스에서 단순한 4자리 숫자 비밀번호로만 인증할 수 있게 제한된 경우도 있어 더 보안성이 높은 비밀번호를 입력할 수 없는 경우도 있었다.
시만텍은 이러한 상황에서 투팩터 인증을 지원하지 않고, 비밀번호 무차별 대입 공격(Brute-force Attack)을 차단하는 방어 수단이 없다면 공격의 표적이 되기 쉽다고 설명했다.
또한 많은 스마트홈 웹 인터페이스에서 잘 알려진 웹 애플리케이션 취약점이 발견됐다. 15개 IoT 클라우드 인터페이스를 대상으로 실시한 간단한 테스트에서도 심각한 취약점들이 드러났다. 이밖에 경로 조작(path traversal), 파일 무제한 업로딩(원격 코드 실행), 원격 파일 삽입(RFI) 및 SQL인젝션과 관련된 10개의 취약점이 발견됐다. 스마트 전구뿐만 아니라 스마트 도어록에서도 이와 같은 취약점이 발견돼 시만텍 분석팀은 비밀번호 없이도 인터넷을 통해 원격으로 현관문을 열 수 있었다.
국내에서 뿐만 아니라 전 세계적으로 스마트홈 기기는 무선 인터넷 공유기를 통한 공격에 취약한 것으로 나타났다. 공격자는 인증 기능이 취약한 무선 인터넷 공유기를 통해 홈네트워크에 침입해 추가적인 공격을 수행할 수 있다는 점이 확인됐다.
비밀번호를 평문 형태로 로컬에 전송하거나 인증을 전혀 사용하지 않는 IoT 기기들도 발견됐다. 인증되지 않은 펌웨어 업데이트가 사용되는 경우도 많았다. 공격자는 이러한 보안 결함을 이용해 홈 네트워크에 침입, IoT 기기의 비밀번호를 알아낼 수 있는 것으로 파악됐다. 이렇게 탈취한 개인 정보는 다른 명령어를 실행하는데 사용될 수 있고, 악성 펌웨어 업데이트를 통해 공격자가 기기를 완전히 장악할 수 있다.
이 결과는 보안 경보기, IP기반 감시 카메라(IP카메라), 엔터테인먼트 시스템, 인터넷 무선 공유기, NAS 기기 등에도 동일하게 적용될 수 있다고 시만텍은 설명했다.
현재까지 라우터, NAS 기기와 같이 PC 관련 기기가 아닌 스마트홈 기기를 대상으로 한 광범위한 악성코드 공격은 발견되지 않았다. 대다수 IoT 공격은 개념검증(POC) 단계에서만 가능성이 확인됐다. 공격자들에게 직접적인 수익을 줄 수 있는 것은 아니기 때문이다. 그러나 시만텍은 IoT 기술이 점차 대중화되면서 공격자들이 사용자를 협박하거나 홈네트워크에 은신하는 등 표적을 공격하기 위한 새로운 방식을 생각해 낼 것이라고 전망했다.
시만텍은 스마트홈 기기를 안전하게 활용하기 위해 개인 사용자, 스마트홈 관련 기기 제조사들에 필요한 보안 수칙을 제시했다.
관련기사
- 사물인터넷 관련 정보보안 특허출원 증가2015.03.16
- 새 IT패러다임 뜨니 신규 보안 시장 관심집중2015.03.16
- 기술-규제 대격변…보안 시장 새판 짜진다2015.03.16
- 안랩, 공기업 IoT 보안에 관심 주문2015.03.16
먼저 개인사용자의 경우 IoT 기기의 계정과 와이파이 네트워크에 강력하고 복잡한 비밀번호 사용, 기본 설정된 디폴트(default) 패스워드 변경, 무선 인터넷 공유기 설정시 WPA2와 같은 강력한 암호화 방식 사용, 필요 없는 경우 IoT 기기에 대한 원격 접속 해제 혹은 방지, 가능한 경우 무선 대신 유선 연결 사용, 중고 IoT 기기는 조작되었을 가능성이 있기 때문에 신중하게 구매, 공급업체의 기기 보안 정책 확인, 개인의 필요에 따른 프라이버시와 보안 설정 변경, 필요 없는 기능 해제, 업데이트의 생활화, 전파 방해나 네트워크 다운 등으로 인한 장애 발생 시 업데이트 설치가 불안한 상태가 되지 않도록 확인, 스마트 홈 기기 구입 전 스마트 기능의 필요성 확인 등이 필요하다.
스마트홈 및 IoT 기기 제조사들은 SSL을 통한 기기 인증과 같은 강력한 IoT 신뢰 모델, 디지털 코드 서명과 같은 IoT 운영 코드 보호, 엔드포인트 보호 및 시스템 보안 강화와 같은 호스트 기반의 효과적인 IoT 보안, 환경 설정 및 무선 업데이트와 같은 안전하고 효율적인 IoT 관리, 이상 행위 탐지와 같은 새로운 지능형 보안 위협에 대처하는 보안 애널리틱스 등을 도입할 것을 권고했다.
