해커가 IoT를 공격하는 방법
상태바
해커가 IoT를 공격하는 방법
  • 최형주 기자
  • 승인 2020.05.15 13:09
  • 댓글 0
이 기사를 공유합니다

펌웨어 취약점, 공유기 장악 등을 통한 IoT 사이버 공격

PC 바이러스, 혹은 해킹의 시작은 개인의 호기심과 장난이었다. 하지만 중요한 정보들이 데이터로 기록되면서 해킹은 더 이상 장난 수준에서 끝나지 않게 됐다.

그렇다면 사물인터넷(IoT) 기기가 어디든 존재하는 지금, 해커들은 어떻게 IoT를 공격할까? 보안 기업 스틸리언 소속 화이트해커, 신동휘 연구소장을 만나 해커들의 IoT 공격 방법에 대해 들어봤다.

 

해커들의 IoT 공격 방법

1. 펌웨어를 노리는 해커들

펌웨어란 디바이스를 제어하는 기본 소프트웨어다. 이를 공격하기 위해 해커들은 기기에 탑재된 펌웨어를 분석, 특정한 포트를 열고 정보 입력을 기다리는 프로세스를 찾아낸다. 그리고 여기에 직접 수정한 가짜 악성 펌웨어를 주입해 IoT 기기 자체를 장악한다.

해커들은 이렇게 펌웨어가 수정된 IoT 기기를 이용해 좀비PC처럼 디도스(DDoS) 공격을 수행하거나 암호화폐를 채굴하기도 한다. 또한 망가진 펌웨어를 통해 장치 자체를 무력화시키기도 한다.

해커가 ‘IoT 업데이트 서버’와 같은 공급망을 장악할 경우 피해는 더욱 커질 수 있다. 유사한 사례로는 지난 2018년 6월부터 11월 사이 발생한 것으로 추정되는 에이수스(ASUS) SW(소프트웨어) 업데이트 시스템(공급망) 해킹 사건이 있다.

당시 공격자는 에이수스 서버를 장악하고 SW 업데이트를 가장해 100만 이상의 ‘에이수스 라이브 업데이트’ 유틸리티 활성 사용자들의 PC에 백도어를 설치했다.

이 공격을 발견한 보안 기업 카스퍼스키에 따르면, 공격자는 모든 사용자를 노린 것이 아니라 악성코드에 하드코딩된 600여 개의 고유 MAC 주소를 통해 특정 사용자만을 공격하기 위해 이 같은 해킹을 감행했다.

그런데 가장 문제가 된 것은 에이수스의 태도였다. 카스퍼스키는 2019년 1월 이같은 공격 상황을 발견하고 에이수스 측에 알렸다. 그러나 에이수스는 이에 답변하지 않았음은 물론, 해당 사태를 고객에게도 알리지 않았다. 이후 에이수스는 해당 공격이 문제가 된 지 약 2달 만에 취약점에 대한 패치를 내놨다.

에이수스 서버 공격에 영향을 받은 국가들

신동휘 소장은 “사실 IoT 보안을 위해 사용자단에서 할 수 있는 보안 조치는 그리 많지 않다”며 “IoT 해킹으로 인한 피해를 막기 위한 조치는 설계 단계에서 이뤄져야 하는 만큼, 기업들의 철저한 초기 보안 설계가 가장 중요하다”고 말했다.

 

2. 공유기 장악

인터넷에 연결된 IoT는 공유기를 통해 외부로 데이터를 내보내고, 내부로 들여오기도 한다. 따라서 인터넷 공유기를 통해서도 IoT 공격이 가능하다. 우선 해커들은 공유기 자체의 취약점을 찾거나, 보안 수준이 낮은 관리자 비밀번호를 사용한 공유기를 해킹해 장악한다. 이후 공유기를 통해 오고 가는 트래픽을 관찰해 IoT 게이트웨이를 찾아낸다.

공유기 자체의 취약점은 거의 매달 한두 개씩은 발견되고 있다. 올해 3월에는 사이버 범죄자들이 디링크(D-Link)와 링크시스(Linksys) 라우터의 취약점을 악용해 ‘코로나 랜섬웨어 바이러스’를 퍼뜨렸고, 같은 달 넷기어(Netgear)의 나이트호크(NightHawk) 라우터에서도 원격 코드 실행 결함이 수정됐다.

지난해 12월에는 디링크 라우터 다수 모델에서 원격 명령 실행 결함이 발견돼 펌웨어 패치가 이뤄졌고, 또 같은 달 360Netlab의 보안 전문가들이 넷기어, 디링크, 화웨이 라우터를 주요 타깃으로 하는 Mozi P2P 봇넷 공격을 발견했다.

공유기의 트래픽을 관찰하기만 해도 해킹이 가능한 리플레이 어택(Replay Attack)도 문제가 될 수 있다. 실제 IoT 이용자가 CCTV 화면을 돌리는 명령을 내린다고 가정하자. 그럼 해커는 프로토콜 상의 명령 패킷 메시지를 잡아 복사한 후, IoT 기기에 재전송한다. 이 패킷은 애초에 인증된 사용자가 보낸 메시지였으므로 IoT 기기는 이 명령을 인증된 사용자의 명령이라 착각하고 실행한다.

 

3. 감시카메라 공격

지난 2017년 물리보안 업계에서는 ‘악마의 담쟁이(Devil's Ivy)’라는 ONVIF 취약점이 발견돼 화제가 된 적이 있었다. ONVIF란 CCTV 등 IP 기반 보안장치들을 서로 연결해주는 국제 표준 프로토콜로, 모든 기업 및 단체에 개방돼 널리 사용되고 있다.

기업 Senrio가 엑시스(Axis)사의 CCTV에서 발견한 이 취약점은 ‘스택 버퍼 오버 플로우’ 방식의 프로그램 버그로, 프로그램이 스택에 위치한 버퍼에 할당된 것보다 더 많은 데이터를 쓸 때 발생한다.

해커가 만약 이 취약점을 악용할 경우, 권한 상승을 통해 카메라를 장악해 은행 로비 등에 설치된 CCTV에서 범죄를 위한 정보를 수집하거나 CCTV기록을 멈출 수 있다. 영화에서나 보던

첨단 기술을 활용한 범죄가 현실이 될 수도 있다. 특히 Senrio는 이 취약점이 ONVIF 방식을 사용한 모든 카메라에 적용이 가능하다고 밝혀 업계에 큰 파장을 일으켰다.

CCTV를 공격하는 또 다른 방법 중 하나는 CCTV에 연결된 NVR 등의 녹화장치에 디도스 공격을 실행하는 방법이다. 신동휘 소장은 녹화장치의 오픈된 포트에 디도스 공격을 감행하면 기기 자체를 다운 시킬 수 있고, 악마의 담쟁이와 마찬가지로 CCTV 공격이 각종 직접 범죄로 연결될 수도 있다고 지적했다.

 

4. 어택 서피스 공격

다음으로 소개할 공격 방법은 어택 서피스(Attack Surface)다. 어택 서피스란 권한이 없는 사용자가 특정 환경에 데이터를 입력하거나, 추출하는 시도를 할 수 있는 사용자 입력 필드, 프로토콜, 인터페이스, 서비스 등을 말한다.

쉽게 말해 이는 애플리케이션 인터페이스를 대상으로 하는 공격이며, 글로벌 보안 인증 기관인 SANS Institute는 IoT 기기의 60% 이상에 취약한 인터페이스가 적용돼 있다고 밝히기도 했다.

어택 서피스와 관련한 대표적인 공격 방법에는 자동 로그인에 관한 취약점이 있다. 자동 로그인 기능을 지원하는 애플리케이션들은 대부분 종료 후 다시 실행해도 본인인증을 하는 세션값이 바뀌지 않는다. 만약 해커가 장비에 대해 분석을 끝냈다면, 이 세션 값을 뽑아 IoT 기기를 제어할 수 있는 권한을 획득할 수 있다.

 

어떻게 막아야 할까?

앞서 언급했듯, 사실 IoT 보안을 위해 사용자가 취할 수 있는 조치는 그리 많지 않다. 어택 서피스 방식의 해킹에 대해서도 신 소장은 “보안 설계가 제대로 된 정상적인 디바이스라면 한 번 받은 요청은 1회 실행으로 만료돼야 한다”며 “IoT는 제조사와 기업들의 초기 설계가 가장 중요하다”고 재차 강조했다.

IoT 기술의 활용 범위와 영역이 급속도로 고도화하고 있다. 이는 범죄자들이 IoT 해킹을 통해 수집할 수 있는 개인정보와, 이를 통한 범죄도 기하급수적으로 늘어나고 있다는 뜻이 된다.

신동휘 소장은 IoT 해킹 공격을 막기 위한 보안 대응책으로 ▲공유기 포트포워딩 하지 않기 ▲IoT 디폴트 ID 및 패스워드 사용하지 않기 등을 꼽았다.

또한 신동휘 소장은 “정부 산하 기관인 한국인터넷진흥원(KISA)의 IoT 보안 가이드라인만 따라도 각종 해킹에 대처하기 수월해진다”고 강조했다. 다음 파트에서는 한국인터넷진흥원 이용필 융합보안단장이 밝히는 개인 차원의 IoT 보안 대책에 대해 살펴보겠다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.