세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
블루투스로 연결된 IoT 기기 수십억 대, 해커에게 장악될 수 있다
  |  입력 : 2017-09-13 23:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
블루투스 제로데이 취약점 8개, 앞서 발견된 것보다 훨씬 심각
블루투스로 연결되는 모든 기기, 원격 코드 실행과 중간자 공격에 매우 취약
‘블루본(BlueBorne)’ 취약점으로 명명...블루투스 끄는 게 최선의 대안


[보안뉴스 오다인 기자] 노트북, 스마트폰, TV, 스마트워치, 카오디오 등 블루투스로 연결할 수 있는 기기 수십억 대가 해킹 공격에 취약하다는 연구가 나왔다. 해커는 블루투스 실행 가능 기기들을 제어하고 멀웨어를 설치하며 기타 악성 활동을 펼칠 수 있다고 이 연구는 밝혔다.

[이미지=iclickart]

블루투스 취약점은 안드로이드, 윈도우, 리눅스, 그리고 버전 10 이전의 iOS 등에서 발견됐다. 공격자는 이 취약점을 통해 사용자 인터랙션 없이도 기기들을 광범위하고 빠르게 감염시킬 수 있으며, 심지어 망분리된 기기들까지 감염시킬 수 있는 것으로 나타났다. 사물인터넷(IoT) 보안 업체 아미스(Armis)가 12일 발표한 연구 결과다.

아미스는 자사가 발견한 제로데이 취약점 8개를 묶어 ‘블루본(BlueBorne)’이라고 명명했다. 아미스는 지금까지 블루투스 프로토콜에서 발견된 보안 취약점들보다 이번에 밝혀진 취약점들이 훨씬 더 심각하다고 강조했다. 이번 취약점의 경우, 인증 메커니즘을 우회하면서 기기에 탐색이나 페어링을 요청하지도 않아 원격 실행 공격이 가능하기 때문이다.

블루본은 공격자가 블루투스 기기 1대를 멀웨어로 감염시킨 뒤 그 근처의 다른 블루투스 기기로 해당 멀웨어를 빠르게 전파하는 걸 가능하게 만든다. 공격자들은 블루투스의 기본 설정 상태를 이용해 랜섬웨어를 투하하거나 정보를 빼돌리고, 사이버 스파이 범죄를 저지를 수 있는 데다 감염된 블루투스 기기들로 미라이 같은 봇넷을 구축할 수도 있다.

구글과 마이크로소프트는 해당 취약점들에 대해 패치를 배포한 상태다. 또한, 리눅스 배포판을 사용하는 보안 부서 역시 이 취약점들에 대해 공지 받았으며 해결에 착수했다고 아미스는 말했다.

블루투스는 대개 소비자용 기기에서 사용된다. 보안 업체 바로니스(Varonis)의 보안 엔지니어인 마이크 벅비(Mike Buckbee)는 “이상적인 세계에선 블루본은 기업에 별다른 문제가 되지 않는다”고 말했다. 현실에서는 블루본이 수없이 많은 기기에 영향을 미친다는 뜻이다. 벅비는 직원과 고객을 가리지 않고 취약점의 영향을 받을 것이며 일상적인 생활에서 기기 사용도 영향을 받을 것이라고 분석했다. 빠르게 패치되는 것조차 어려워 보인다는 거다.

벅비는 블루투스 시스템 상당수가 쉽게 패치될 수 없는 사물인터넷 기기이거나 한 번도 패치된 적 없는 기기라고 설명했다. “이런 취약점에 대해 우려가 커지는 이유는 집단적인 무능력 때문입니다. 수백만 대의 모바일 기기를 어떻게, 그리고 신속하게 패치할 수 있겠느냐 하는 데서 오는 그 무능력 말입니다.”

사물인터넷과 BYOD(Bring Your Own Device) 시대에 존재하는 많은 기업은 사용자 기기의 운영체제나 기술 스택이 제조업체와 OS 제작자 등에 의해서 적절하게 보안 조치됐을 거라고 추정한다. 벅비는 “블루본이 이런 인식에 대해 문제를 제기한다”고 말했다. “기업들은 지금까지 패치되지 않고 방치된 기기와 그 위협에 대해 이제부터 계속 평가해야만 합니다.”

아미스가 이번 주 공개한 8개의 제로데이 취약점 중 4개는 안드로이드에 영향을 미치는 것들이다. 하나는 정보 유출, 두 개는 원격 코드 실행, 나머지 한 개는 중간자 공격을 가능하게 하는 취약점이다.

저전력 블루투스 기술(BLE: Bluetooth Low Energy)을 사용하는 기기를 제외한 모든 안드로이드 기기가 이 4개의 취약점을 갖고 있는 것으로 나타났다. 즉, 패치되지 않고 방치될 경우 이 모든 기기가 공격에 위험하다는 뜻이다. 영향권 안에 드는 안드로이드 기기의 예로는 구글 픽셀, 삼성 갤럭시, LG 워치 스포츠, 아우디를 포함한 여러 차종에 설치된 펌킨 카 오디오 시스템 등이 있다.

아미스는 윈도우 블루투스 실행에 있어서는 하나의 제로데이 취약점을 찾았다. 이 취약점은 안드로이드의 중간자 공격 취약점과 동일한 것이었다. 공격자는 이 취약점을 통해 피해 기기에 악성 네트워크 인터페이스를 만들 수 있으며 악성 IP 주소를 통해 모든 통신을 전송받을 수 있는 것으로 나타났다. 아미스는 윈도우 비스타 이후 출시된 모든 윈도우 시스템이 이 취약점에 영향을 받는다며 패치돼야 한다고 지적했다.

새롭게 발견된 취약점 두 가지는 다양한 리눅스 배포판에 영향을 미칠 수 있다. 한 가지는 정보 유출 취약점이고, 다른 하나는 리눅스 커널 블루투스 스택에서의 스택 오버플로우 문제다. 안드로이드와 윈도우의 정보 유출 버그처럼 리눅스의 블루투스 취약점은 공격자가 특수 제작된 요청을 취약 기기로 발송할 수 있게 하고 이후 메모리 비트를 유출하도록 만들 수 있다. 메모리 비트를 기기 내의 민감한 정보를 추출하는 데 이용하는 것이다. 아미스는 메모리 오염 버그를 통해 기기를 완전히 침해할 수 있다고 설명했다.

공식 블루투스 스택인 블루지(BlueZ)를 내장한 모든 리눅스 기기는 정보 유출 문제에 취약한 것으로 나타났다. 2011년부터 3.3-rcl 버전까지 해당하는 리눅스 기기의 경우 메모리 오염 버그도 있다고 아미스는 설명했다. 영향권 안에 드는 리눅스 기기는 삼성 기어 S3 스마트워치, 삼성 스마트TV, 삼성 냉장고 등이 있다.

아미스는 현행 엔드포인트 보안 솔루션과 모바일 정보 관리 툴로는 블루본 공격을 포착할 수 없다고 설명했다. 즉, 앞으로 발생할 공격들에 대비해 새로운 툴을 개발해야 한다는 것이다.

보안 업체 트립와이어의 보안 연구 및 개발 이사인 라마르 베일리(Lamar Bailey)는 IT 보안 부서가 블루투스를 왜 다른 오픈 포트처럼 취급하면 안 되는지 블루본 취약점을 보면 알 수 있다고 말했다. “최선의 대응은 반드시 켜야 할 경우를 제외하곤 블루투스를 끄는 것입니다. 가능한 한 유선 기기를 사용하고요.” 베일리는 특히 민감한 정보를 다루는 상황에서는 이와 같은 조언을 명심해야 한다고 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)