220420_유명조달기업
CCTV, 아직도 초기 비밀번호 그대로 쓰십니까?
상태바
CCTV, 아직도 초기 비밀번호 그대로 쓰십니까?
  • 신동훈 기자
  • 승인 2017.04.10 09:40
  • 댓글 0
이 기사를 공유합니다

해커들 먹이감 노리는 놀이터 된 쇼단, IoT 취약점 노려…SoT를 대비해야 되는 이유

[CCTV뉴스=신동훈 기자] IoT 기술로 각종 사물에 센서와 통신 기능이 내장되며 모든 기기들이 연결되고 있다. 이러한 IoT 시대가 다가오면서 IoT 보안 위협도 성큼 다가왔다. 한 가지 IoT 기기가 침해되더라도 영향을 미치는 범위가 무한정으로 뻗어나갈 수 있기 때문이다.

특히 쇼단이라는 IoT 기기 검색 사이트가 해커들의 먹이감을 노리는 장소가 되며 사용자들에게 경고를 보내고 있다. 쇼단은 어둠의 구글이라고도 불리는데 CNN에서는 가장 영향력 있는 웹으로 구글 대신 쇼단으로 선정하기도 했다.

▲ 쇼단(Shodan) 메인. 전세계 연결되어 있는 모든 IoT 기기를 검색할 수 있다.

쇼단은 검색 엔진에서 노출된 IoT 기기 정보를 볼 수 있는 곳으로, 이것을 통해 인터넷에 연결된 IoT 기기를 수집 가능하다. 단순히 웹에서 돌아다니는 콘텐츠와 정보를 검색해주는 일반 검색 포털 사이트와 달리 쇼단은 웹캠, 라우터, 스위치, IoT 허브, 서버, 인터넷 전화, 스마트TV, 산업용 제어시스템(SCADA), 네트워크 장비 등 IoT 기기를 검색해주는 사이트이다.

쇼단 웹 사이트에서 ‘Webcam’을 검색하면 연결돼 있는 웹캠 IP, 국가, 단체, HTTP 상태코드, 포트 정보, 위도·경도 위치정보 등이 확인되고 만약 아이디와 패스워드를 알고 접속한다면 곧바로 영상까지 확인할 수 있다.

그래서 그런지 쇼단(Shodan)이 해커들에게 공격자 타겟을 찾는 곳이 되고 있다. 쇼단의 익스플로어(Explore)를 통해 인기 있는 검색어(Searches)를 확인할 수 있는데 1위~3위까지가 캠에 대한 검색, 4위가 초기 비밀번호이다.

▲ 쇼단 인기 있는 검색어 1~4위까지가 모두 캠 해킹을 위한 검색어이다.

이처럼 해커들은 쇼단을 통해 공격 대상을 수집하고 자동화 툴(미라이 코드 등)을 이용, 대규모 감염을 위해 사용하고 있다. 최근 기자가 webcam으로 검색해봤는데 톱 국가 중 미국이 1336개로 1위, 한국이 649개로 2위에 속해 한국은 높은 순위에 속하는 것을 확인할 수 있었다. 이처럼, 웹캠에 대한 취약점을 노리는 해커들이 점점 많아지고 있어, 제조사들은 물론 사용자들은 초기 비밀번호는 무조건 바꿔야 되고 보안의 취약점을 항시 염두에 둬야 한다.

업계 관계자는 “쇼단의 쿼리 결과는 웹서버 포트가 열려있는 것을 의미하고 있고 비번 설정이 돼 있다면 1차적인 방어는 돼 있다고 보면 되나 공장설정 아이디 비번을 쓰는 경우는 안 쓰는 경우나 마찬가지라고 보면 된다”고 전했다.

기자도 몇 번 검색을 통해 5분 만에 업체별 초기 아이디와 비밀번호가 적혀 있는 텍스트 파일을 구할 수 있었다. 또한, 제조사 매뉴얼 검색을 통해서도 초기 비밀번호를 금새 수집할 수도 있다. 

▲ 기자가 웹 서칭을 통해 찾은 CCTV 초기 패스워드 텍스트 파일
▲ 제조사 매뉴얼 검색 등을 통해서도 기본 패스워드를 수집할 수 있다.

단순 웹캠 검색뿐만 아니라 제조업체별로도 확인이 가능하다. 기자는 전 세계 주요 보안장비 업체들이 몇 개의 IoT 기기가 뜨나 직접 확인해 봤다.

3월 31일 기준,

화웨이(Huawei) 전세계 662,331 한국 228

하이크비전(Hikvision) 전세계 460,378 한국 21,747

다후아(Dahua) 전세계 527,316 한국 7743

한화테크윈(Samsung 검색 시) 전세계 41,304 한국 11,890

아이디스(Idis) 전세계 194 한국 159

엑시스(Axis) 전세계 16,829 한국 258

하니웰(Honeywell) 전세계 497 한국 7

보쉬(bosch) 전세계 712 한국 4

유니뷰(Uniview) 전 세계 66 한국 0

아비질리언(Avigilon) 전 세계 463 한국 6

CCTV는 네트워크를 만나 웹캠을 통해 언제, 어디서나 인터넷을 통해 영상을 확인할 수 있는 편리한 세상이 됐다. 누구나 아이디와 패스워드를 통해 웹에 접속, 영상을 복제할 수 있고 네트워크에 연결된 디스플레이에 표출 가능하다. 이 점은 장점이자 단점이 될 수 있다. 누구나, 원격으로 모니터링하고 시스템을 제어할 수 있다는 얘기이기 때문이다. 주기적인 비밀번호 변경은 물론 꼭 보안 프로그램을 사용해야 한다는 점을 유념해야 한다.

하지만 이제는 단순 비밀번호만 가지고도 안심할 수 있는 시대는 아니다. 비단, 쇼단 사이트가 아니더라도 IoT 취약점에 대해 쉽게 찾을 수 있어 사물보안에 초점을 맞춘 SoT(Secuiry of Things)를 하루 빨리 대비해야 될 시기이다. 이미 인텔과 슈나이더 일렉트릭 같은 글로벌 기업은 시큐어 바이 디자인이라는 모토로 보안내재화된 IoT 제품을 내놓고 있고 유럽과 미국 등 선진국에서는 SoT 월드포럼(Security of Things World Forum) 등 SoT 단체가 활동을 시작했다.

SoT는 오는 6월 관련 컨퍼런스도 독일에서 개최될 예정이다. 해당 컨퍼런스에는 마스터카드, 지멘스, 필립스, 에릭슨, 폭스바겐, 어도비, AIG 등 업계를 초월한 다양한 기업들이 참가한다. 국내에서는 KISA가 SoT 관련해 선제적으로 움직이고는 있으나, 국제적인 활동은 아직 미흡한 상태이다. 정부와 기업에서는 IoT 보안에 대한 근본적인 혁신을 위해 SoT를 준비해야 될 때다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.