한달 앞선 올해 상반기 보안위협 이슈 1. 사물인터넷

사물인터넷 시대, 벌써부터 보안구멍 여기저기서 뻥뻥
암호화 조치 시급...변화하는 환경속 보안위협 주목해야

[보안뉴스 김경애] 6월은 시작됐고, 벌써 상반기의 끝자락에 와 있다. 올 한해도 다양한 사이버보안 이슈가 국내를 휩쓸었으며, 보안위협에 대한 우려 역시 갈수록 커지고 있다.

이에 본지는 보안전문가들이 관심 있게 보고 있는 보안위협을 조사했다. 그 결과 사물인터넷, 랜섬웨어, APT 공격 등 세 가지 키워드가 꼽혔는데, 이를 3회에 걸쳐 소개할 계획이다.

공유기에서부터 홈CCTV까지 보안위협 확산

사물인터넷의 보안위협은 지난해 4월부터 시끌벅쩍 했던 공유기 이슈부터 최근 불거진 홈CCTV 백도어 논란까지 갈수록 그 파장이 커지고 있다.

특히, 공유기의 보안위협은 하우리 최상명 CERT실 실장을 비롯해 NSHC 싱가포르법인 하동주 CTO, 한국정보보호시스템 류동주 R&D센터장, 안랩의 심선영 연구원 등 여러 보안전문가들이 입을 모아 꼽았으며, 아직도 풀어야 할 숙제가 적지 않다.

이는 지난해 4월부터 공유기 DNS를 변조해 파밍 사이트로 접속시켜 개인정보 탈취하는 등 공유기 보안취약점을 악용한 사고가 끊이지 않고 발생했기 때문이다. 공격자는 카페나 도서관 등 사용자가 몰리는 장소에 설치된 공유기를 주 타깃으로 공개되어 있는 공유기에 접속한 뒤 설정을 변경하는 방식으로 공격을 감행했다.

이는 해외도 마찬가지다. 지난달 28일(현지시간) 해외 한 사이트(http://seclists.org)에서는 인터넷 라우터(공유기) 취약점 60여개가 대거 공개되면서 보안문제가 불거지고 있다. 해당 취약점은 백도어에 대한 권한 상승 및 인증을 우회할 수 있고, 크로스사이트스크립팅(XSS) 버그를 포함하고 있다. 또한, 이 취약점이 악용되면 서비스 거부는 물론 USB 장치에서 파일을 삭제할 수도 있다. 이번에 취약점이 발견된 인터넷 라우터들은 글로벌 업체 제품들이 대거 포함돼 있다.

본지는 이보다 하루 앞선 지난 5월 27일 CSRF를 사용해 SOHO 라우터의 DNS 세팅 우회시키는 익스플로잇 킷(Threat Post)과 소셜네트워크를 활용한 리눅스 기반 라우터 웜이 등장(Security Week)했다는 소식도 전한 바 있다.

암호화 등 보안조치 ‘시급’

사물인터넷 분야 이슈는 공유기 뿐만이 아니다. 앞으로 우리 앞에 선보일 수많은 IoT 기기의 보안이 갈수록 중요해지고 있다. 정보보호최고책임자협의회(CISO협의회) 이홍섭 회장은 “앞으로 IT 분야의 새로운 가치 창조를 위해서 IoT가 주요 기반이 될 것”이라며 “이를 위해서는 IoT 보안이 가장 중요한 부분”이라고 말했다.

때문에 차세대 보안리더들 역시 사물인터넷 분야의 보안위협에 주목하고 있다. 이와 관련 라온화이트햇 화이트햇센터 조주봉 보안기술교육팀장은 “세상의 흐름에 따라 자동차, 의료기기, 공유기, 스마트TV 등 집안의 가전기기를 비롯한 하드웨어가 인터넷과 연결되고 있다”며 “기존에 몇 가지 제품을 분석하고, 테스트해 보면 꼭 PC 초창기 때를 보는 것 같다”고 말한 바 있다.

현재 사물인터넷 보안이슈가 초창기 PC의 보안문제를 그대로 이어가고 있는 등 그 과정을 계속 밟아가고 있기 때문이다. 모바일도 PC 초창기 때의 문제점과 꼭 닮아 있다는 게 그의 설명이다.

그러다 보니 하드웨어 측면에서 역공학적으로 분석해보면 보안조치가 미흡해 취약점이 계속 발생하고 있다는 것. 이로 인해 사물인터넷 시대에서의 중요한 보안요소로 그는 단연 암호화를 꼽았다.

이종호 연구원 역시 모바일이나 사물인터넷(IoT) 분야를 관심 있게 보고 있다고 밝히며, 기존 PC의 보안위협들과 비슷하다고 지적했다. 그러나 사람에게 미치는 영향은 더욱 커졌기 때문에 위험성은 더 높아졌다고 설명했다.

시나리오상 특이한 보안위협에 주목해야

이제는 새로운 기기들에 아주 작은 소형컴퓨터가 하나씩 들어가는 추세이기 때문이다. 최근에는 구글 글래스(Google Glass)와 스마트워치 등 웨어러블 기기도 부각되는 등 사람 몸에도 직접적으로 영향을 미칠 수 있다. 그만큼 사람의 몸과 점점 일체화되는 추세라고 할 수 있다.

따라서 변화된 환경속 보안위협에 주목해야 한다. 이와 관련 스틸리언의 박찬암 대표는 “변화된 환경 속에서 등장하는 보안위협은 기술적으로 특별하다기보단 시나리오상 특이한 보안위협이 많이 나올 것”이라며 “특히, 제품에 장착되는 칩이 사람 몸에 영향을 끼칠 수 있으므로 무엇보다 보안에 신경써야 한다”고 강조했다.

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)