시스코시스템즈의 보안전문가가 사물인터넷(IoT) 환경에선 IoT 제품을 만들고 내놓는 개발자와 업체들이 보안성 확보를 위해 노력해야 한다고 조언했다. 그간 IoT 제품 생산 단계에서 저렴한 것만을 추구하다보니 보안이 뒷전인 상황이라는 점을 꼬집은 것이다.
시스코의 사이버위협 전문가 조직 탈로스의 얼 카터(Earl Carter) 연구원은 지난 20일 서울 삼성동 아셈타워 기자간담회 자리에서 "지난 20년간 사이버위협은 주로 네트워크를 통한 공격으로 발현됐지만 이제 IoT기기가 폭증하면서 언제든 이를 통해 네트워크에 침입할 수 있는 상황이 됐다"고 진단했다.
그는 "최근 경기 기록을 자동 집계하는 농구공, 축구공도 등장할만큼 다양한 기기가 인터넷과 블루투스 등으로 연결되면서 IoT가 새로운 공격 대상으로 떠오르고 있다"며 "자동차, 의료기기, 이런 IoT기기 하나하나가, 공격자가 마음만 먹으면 침투할 수 있는 컴퓨터 역할을 하게 된다"고 경고했다.
그는 그러나 정작 현실은 "IoT환경의 보안을 실현하기는 갈수록 어려워지고 있다"고 지적했다. 그 이유는 "보안이 간과되고 더 저렴한 기기 생산에 초점이 맞춰지고 있기 때문"이라고 말했다. 이어 "산업계 전체에 보안의 중요성을 널리 알리고 IoT 기기 제품을 개발하는 환경에서, 업체(제조사)와 개발자들이 보안에 더 신경을 쓰도록 집중적으로 알릴 필요가 있다"고 덧붙였다.
공격자가 보안이 취약한 수많은 IoT기기에 악성코드를 감염시킨 결과 중 하나가 미라이 봇넷이다. 미라이 봇넷은 지난 2016년 9월 온라인 해킹커뮤니티를 통해 소스코드가 공개된 IoT 악성코드 '미라이(Mirai)'에 감염돼 형성된 대규모 봇넷의 이름이다. 이 봇넷은 2016년 하반기 수차례 대규모 분산서비스거부(DDoS) 공격에 동원되면서 유명해졌다. [☞관련기사1] [☞관련기사2] [☞관련기사3]
미라이봇넷을 통해 발생한 DDoS 공격은, 해커들이 보안이 취약한 IoT기기를 좀비PC처럼 악용한 사례다. 이런 IoT기기는 사용자뿐아니라 전체 인터넷 환경에 피해를 줄 수 있다.
카터 연구원은 앞으로 생산될 제품에 대한 보안뿐아니라 이미 만들어진 IoT 기기의 보안을 개선하기 위한 노력도 필요하다고 강조했다. 그러자면 "IoT 기기의 보안 업데이트 절차도 더 확실하게 알리는 방식을 개선할 필요가 있다"고 지적했다. 그는 "지금은 IoT 기기 제조사들이 (보안패치가 나왔을 때) 인터넷 웹사이트에 '업데이트 하라'고 공지 한 줄 올리고 마는데, 더 적극적인 권고 절차를 마련해야 한다"고 강조했다.
그는 이미 출시된 IoT기기 보안 문제를 대처할 수 있는 절차가 확립되지 않았다고 설명했다. 일례로 탈로스 분석가들이 널리 쓰이는 온도조절장치의 취약점을 발견해 제조사에게 알려준 뒤, 패치가 나오는데만 2년이 걸렸다고 전했다. 그나마 해당 업체는 웹사이트 공지를 통해서만 패치 배포 소식을 알려서, 이를 못 본 대다수 소비자의 기기는 여전히 보안 결함을 해결하지 못한 상태라고 봤다.
카터 연구원은 전체 사이버위협 동향 차원의 흐름도 제시했다. 그는 "공격자들이 언제든 표적으로 삼아 공격을 시도할 수 있는 대상으로 '사용자'와 '데이터'를 노리기 시작했다"고 설명했다. 시스템에 저장된 개인 및 기업의 데이터를 인질삼아, 되찾을 수 있게 해주는 대가로 금전을 요구하는 랜섬웨어가 그런 흐름을 보여 준다고 지적했다.
탈로스의 분석에 따르면 랜섬웨어에 더해 금전적 이익을 추구하는 사례로 공격은 암호화폐 탈취 시도가 늘었다. 공격자들이 암호화폐 기반기술인 '블록체인' 관련 정보를 제공하는 전문 웹사이트와 비슷한 가짜 사이트를 만들고, 구글 검색결과 상단에 배치되도록 광고한 다음, 그 방문자들의 디지털 지갑에 저장된 암호화폐를 훔치는 사례가 빈번하게 발생한 것으로 파악됐다.
카터 연구원은 "공격자는 자신의 가짜 사이트에 들른 방문자를 다시 정상 웹사이트로 보내 암호화폐 지갑을 만들게 하는데 이미 그 지갑의 제어권은 공격자에게 넘어간 상태가 됐다"며 "우크라이나 지역에서 실제 200만달러치 피해를 입은 암호화폐 지갑이 있었고, 이런 사례를 통해 추정해본 결과 3년간 현지 사용자들의 피해 규모가 5천만달러에 달할 것으로 추정됐다"고 말했다.
관련기사
- "24시간만에 5천대 감염"…안드로이드폰 채굴 악성코드 확산2018.03.21
- "악성코드 감염 IoT기기, 109Gbps 디도스 유발"2018.03.21
- "미라이 감염 기기들, 청부 디도스 공격에 동원돼"2018.03.21
- 정부, 가정용IoT보안 가이드 또 만든 이유2018.03.21
탈로스는 새로운 위협을 모니터링하고 대응해 시스코 고객사를 위협으로부터 보호하도록 움직이는 보안전문가 조직이다. 280여명의 보안저문가가 6천억건 이상의 이메일 및 웹페이지를 통해 새로운 위협을 탐지하고 있다. 카터 연구원은 이 조직에서 매일 197억건에 달하는 공격을 차단하고 있다고 주장했다. 파악된 위협 동향은 시스코 보안장비에 적용돼, 고객사들이 새로운 위협을 자동으로 해결하도록 돕는다.
탈로스가 최근 분석한 주요 위협 사례 중 하나는 평창동계올림픽 개막식 당시 해킹사건이었다. 탈로스 전문가들은 당시 '올림픽 파괴자'라는 악성코드의 특성에 초점을 맞춘 분석을 제시했다. 여러 사이버보안 전문가그룹에서는 공격 배후로 러시아, 중국, 북한 등 국가의 지원을 받는 해커조직 소행 가능성을 제시했지만 탈로스 전문가들은 이같은 추정을 제시하지 않았다. [☞관련기사]
