세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
사물인터넷과 랜섬웨어가 만날 때를 대비하기 위해
입력날짜 : 2017-03-12 23:10
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
사물인터넷 통한 협박 시나리오 다양해
제조사 재량에 맡긴 보안...아직까지는 적극 활용하기에 시기상조


[보안뉴스 문가용 기자] 랜섬웨어는 2016년 큰 부흥기를 맞았다. 정말 많은 매체에서 헤드라인을 수두룩하게 차지했고, 경찰관들도 랜섬웨어 때문에 수많은 수사를 진행했다. 그런 사이에 슬슬 자라던 위협이 또 하나 있었으니 바로 사물인터넷 보안 문제다. 인터넷 연결이 가능한 각종 가전기기, 장난감, 자동차 등이 새로운 위협으로 떠오른 것이다.


이런 흐름은 어지간해선 멈출 것 같지 않다는 게 보안 전문가들 대부분의 공통된 의견이다. 의견이 갈리는 부분이 있다면 ‘어느 정도로 자랄 것인가’ 부분이지, 그 방향성 자체에는 이견이 거의 없다. 그런데 최근에는 이 둘이 합쳐질 것이라는 의견이 나오기 시작했다. 이른바 사물인터넷 랜섬웨어 공격이 바로 그것이다.

그렇다면 사물인터넷 랜섬웨어의 가장 유력한 공격자는 누구일까? 먼저 랜섬웨어는 보통 매일 업무를 수행하는 데에 반드시 필요한 데이터가 보관된 컴퓨터와 네트워크 영역을 노린다. 그래야 데이터를 볼모로 잡는 데 성공했을 때 피해자가 돈을 지불할 확률이 높아지기 때문이다. 게다가 이 데이터가 기업의 것이라면, 가격은 더욱 높이 올라간다.

사물인터넷 기기는 다행히 이런 종류의 데이터가 저장되어 있지 않다. 스마트 바비 인형이 랜섬웨어에 감염되었다고 해서 부모가 범인에게 연락을 취해 돈을 지불할까? 그러나 사물인터넷의 핵심은 정보 저장이 아니라 기능성이다. 사소한 정보를 주로 저장할지는 몰라도, 중요한 기능을 수행하고 있을 가능성은 낮지 않다. 게다가 아직도 발전 중이니 사물인터넷이 가정과 회사에서 수행하는 일이 더욱 중요해질 전망이기도 하다. 그렇다면 랜섬웨어 공격자들이 충분히 노려볼 만한 표적이 된다.

이런 점에서 사이버 공격 타깃 1순위로 꼽히는 예상되는 기기가 있으니, 바로 커넥티드 온도계다. 네스트(Nest)나 에코비(Ecobee)와 같은 브랜드가 유명한데, 이 기기들은 집 바깥에서도 집 안의 온도를 항상 계측하고 조절할 수 있도록 해주는 기능을 가지고 있다. 해커의 손에 넘어가면 한겨울에 에어콘이 멋대로 작동하거나 한여름에 히터를 맹렬히 지필 수 있게 된다.

겨우 그 정도로 무슨 ‘위협’이라는 단어까지 쓰는가, 라고 생각할 수 있는데, 이런 공격이 공장 단지나 업체 건물에 들어간다면 어마어마한 전기비나 난방비 등을 발생시킬 수도 있다. 차라리 공격자에게 랜섬 비용을 내는 것이 더 싸게 먹힐 정도로 말이다. 그런 경우 ‘이윤’을 쫓는 단체라면 흥정해볼만하다고 생각할 것이다.

이를 다른 사물인터넷 가전제품에 적용해보자. 스마트 잠금장치라면 어떨까? 집에 아무도 들여보내지 않고 돈을 내라는 협박하는 공격이 가능하다. 스마트 전등기구라면? 당신의 집에 백야현상을 불러올 수 있다. 스마트 자동차라면? 스마트 시티라면? 인명 피해도 충분히 가능하다. 이쯤 되면 차라리 데이터를 가지고 협박을 했던 지금 시절이 그리워질 수도 있다.

근본적으로는 사물인터넷 기기를 만드는 제조사들이 보안이 튼튼한 물건을 만들어야 한다. 구멍이 생기면 패치도 제 때 해야 한다. 그런 분위기가 형성되기 전까지는 보안 팀과 IT 팀이 사무 환경에 새롭게 도입되는 기기들을 하나하나 점검해야 한다. 구매 선정 단계부터 구축 단계까지, 나설 사람이 보안/IT 담당자들뿐이라는 것이다. 보다 더 안전한 방법은, 사실, 굳이 해당 사물인터넷 기기가 없어도 되는 방법을 고안해 구매하지 않도록 하는 것이다. 그러나 구매가 반드시 이뤄져야 한다면, 다음 사항을 고려해보라.

(1) 디폴트 크리덴셜 변경이 가능한가? 쉬운가? 사물인터넷 기기들의 디폴트 비밀번호가 문제가 되는 예는 수도 없이 많다. 그래도 아직 디폴트 비밀번호를 못 바꾸게 하는 기기들이 생산된다. 그러니 이 부분을 먼저 확인하는 건 기본 중 기본이다. 게다가 그 과정이 복잡하면, 사용자들이 비밀번호를 잘 바꾸지 않게 되니, 쉬운 것을 선택하는 게 좋다.

(2) 보안에 방해가 되는 프로토콜은 전부 비활성화시킨다. 그런 프로토콜이 발견된 브랜드는 당분간 구매하지 않는다. 사물인터넷 기기라고 전부 아울러서 얘기하지만, 사실 모든 기기가 같은 건 아니다. 보안에 그래도 신경을 쓴 제품이 있고, 보안이 뭔지도 모르는 제조사가 만든 기기들도 있다. 사물인터넷 기기 제조에 대한 보안 표준이 있는 것도 아니니, 말 그대로 ‘재량’에 보안을 맡긴 꼴이다.

(3) 복구 프로세스를 평가하라. 보통 기기들의 복구 기능이라고 하면 ‘공장 초기화’가 있다. 클릭 한 번에 리셋이 되는 기기들도 많다. 그러나 기기에 따라 제조사의 허가나 개입을 필요로 하는 경우도 있다. 이런 경우, 사실상 리셋이나 복구는 있으나 마나한 기능이 된다. 심지어 복구 기능이 전혀 없는 기기들도 있다. 이런 기기들에 랜섬웨어가 설치된다면?

사물인터넷 기기를 곧 사용해야 할 운명이든 아니든, 아무튼 정보보안 업계 전체에 새로운 먹구름이 몰려오는 건 사실이다. 보이는 모든 기기들이 전부 연결된 미래는 정해지다시피 한 것이고, 사물인터넷 보안이라는 ‘감도 오지 않는 이야기’는 보안 담당자들의 실제 업무가 될 것이다. 다음 주부터 당장 사물인터넷 기기를 사용해야 하지 않더라도, 미리 공부해둘 필요가 있다.

글 : 자바드 말릭(Javvad Malik)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
랜섬웨어   사물인터넷   미리 공부                        


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)