시만텍 "IoT 기반 스마트홈 기기 보안 강화 시급하다"
시만텍 "IoT 기반 스마트홈 기기 보안 강화 시급하다"
  • 김문구 기자
  • 승인 2015.03.16 14:51
  • 댓글 0
이 기사를 공유합니다
50가지 스마트 홈 기기 분석 결과, 기본적인 보안문제 발견

[아이티비즈] 최근 사물인터넷(IoT) 시장이 급성장하고 있는 가운데 시만텍(www.symantec.co.kr)이 50가지의 스마트홈 기기를 분석한 결과, 대부분의 스마트홈 기기에서 취약한 인증 및 웹 취약점 등 기본적인 보안 문제가 발견돼 IoT 보안 강화가 시급하다고 강조했다.

가트너에 따르면 2015년 IoT 기반 스마트홈 기기의 수는 29억대에 달할 것으로 전망되는 등 IoT 시장이 급성장하며 스마트홈 환경이 빠르게 확산되고 있다. 하지만 시만텍의 조사결과 IoT 기기의 보안은 여전히 미흡하며 사용자들이 다양한 보안 위협에 노출되어 있는 것으로 조사되었다.

시만텍은 스마트 온도 조절 장치, 스마트 잠금 장치, 스마트 전구, 스마트 연기 감지기, 스마트 에너지 관리 기기, 스마트 허브 등 50가지 스마트홈 기기의 보안 상태를 분석했다. 이번 조사 결과는 보안 경보기, IP기반 감시 카메라, 엔터테인먼트 시스템, 인터넷 무선 공유기, NAS(Network Attached Storage) 기기 등에도 동일하게 적용될 수 있다.

스마트홈 기기는 백엔드 클라우드 서비스를 통해 사용량을 모니터링 하거나 사용자가 원격에서 시스템을 제어할 수 있도록 한다. 사용자들은 모바일 애플리케이션이나 웹을 통해 스마트홈 기기를 제어하거나 데이터에 접근할 수 있다. 하지만 시만텍의 조사 결과, IoT 기기를 제어하는 모바일 애플리케이션의 약 20%가 암호화 통신(SSL)을 사용하지 않고 있었다.

▲ 시만텍 사물인터넷 스마트홈 기기 보안위협 인포그래픽

시만텍의 분석에 따르면 대부분의 스마트홈 기기와 서비스에서 ▲취약한 인증 ▲웹 취약점 ▲로컬 공격 ▲잠재적인 공격 가능성 등 기본적인 보안 문제가 발견됐다.

취약한 인증
이번 조사에서 50가지의 기기 중 상호 인증을 사용하거나 강력한 비밀번호를 설정한 기기가 단 한 대도 없었다. 심지어 클라우드 인터페이스에서 단순한 4자리 숫자 PIN 코드로만 인증할 수 있게 제한돼 사용자가 강력한 비밀번호를 설정할 수 없는 경우도 있었다. 이러한 상황에서 이중 인증(Two-factor Authentication)을 지원하지 않고, 비밀번호 무차별 대입 공격(Brute-force Attack)을 차단하는 방어 수단이 없다면 공격의 표적이 되기 쉽다.

웹 취약점
많은 스마트홈 웹 인터페이스에서 잘 알려진 웹 애플리케이션 취약점이 발견됐다. 15개 IoT 클라우드 인터페이스를 대상으로 실시한 간단한 테스트에서도 심각한 취약점들이 드러났으며, 이 밖에도 경로 조작(path traversal), 파일 무제한 업로딩(원격 코드 실행), 원격 파일 삽입(RFI) 및 SQL 삽입과 관련된 10개의 취약점이 발견됐다. 스마트 전구뿐만 아니라 스마트 도어록에서도 이와 같은 취약점이 발견돼 시만텍 분석팀은 비밀번호 없이도 인터넷을 통해 원격으로 현관문을 열 수 있었다.

로컬 공격
공격자가 인증 기능이 취약한 와이파이 네트워크 등을 통해 홈 네트워크에 침입할 경우 추가적인 공격 루트를 마음대로 사용할 수 있다. 이번 조사에서 비밀번호를 평문 형태로 로컬에 전송하거나 인증을 전혀 사용하지 않는 IoT 기기들도 발견됐다. 인증되지 않은 펌웨어 업데이트가 사용되는 경우도 많았다. 공격자는 이러한 보안 결함을 이용해 홈 네트워크에 잠입, IoT 기기의 비밀번호를 알아낼 수 있다. 이렇게 탈취한 개인 정보는 다른 명령어를 실행하는데 사용될 수 있고, 악성 펌웨어 업데이트를 통해 공격자가 기기를 완전히 장악할 수 있다.

잠재적인 공격 가능성
현재까지 라우터, NAS 어플라이언스와 같은 컴퓨터 관련 기기가 아닌 스마트홈 기기 대상의 광범위한 멀웨어 공격은 발견되지 않았다. 아직 대다수의 IoT 공격은 개념 검증 단계에 있으며, 공격자에게 수익을 주는 구조는 아니다. 하지만 IoT 기술이 점차 대중화되고 있는 가운데 공격자들은 사용자를 협박하거나 홈 네트워크에 은신하는 등 표적을 공격하기 위한 새로운 방식을 생각해 낼 것이다.

안전한 스마트홈 기기 활용을 위한 권고 수칙

시만텍은 다양한 스마트홈/IoT 기기 제조업체들이 안전한 IoT 기기를 생산할 수 있도록 돕고 있다. 시만텍은 스마트홈 기기를 겨냥한 보안 위협에 대비하기 위해 사용자와 스마트홈, IoT 기기 제조업체들이 각각 다음과 같은 보안 수칙을 준수할 것을 권고한다.

<개인 사용자>
• IoT 기기의 계정과 와이파이 네트워크에 강력하고 복잡한 비밀번호 사용
• 기본 설정된 디폴트 패스워드 변경
• 와이파이 네트워크 설정 시, WPA2와 같은 강력한 암호화 방식 사용
• 필요 없는 경우 IoT 기기에 대한 원격 접속 해제 혹은 방지
• 가능한 경우 무선 대신 유선 연결 사용
• 중고 IoT 기기는 조작되었을 가능성이 있기 때문에 신중하게 구매
• 공급업체의 기기 보안 정책 확인
• 개인의 필요에 따른 프라이버시와 보안 설정 변경
• 필요 없는 기능 해제
• 업데이트의 생활화
• 전파 방해나 네트워크 다운 등으로 인한 장애 발생 시 업데이트 설치가 불안한 상태가 되지 않도록 확인
• 스마트 홈 기기 구입 전 스마트 기능의 필요성 확인

<스마트홈/IoT 기기 제조업체>
• SSL을 통한 기기 인증과 같은 강력한 IoT 신뢰 모델
• 디지털 코드 서명과 같은 IoT 운영 코드 보호
• 엔드포인트 보호 및 시스템 보안 강화와 같은 호스트 기반의 효과적인 IoT 보안
• 환경 설정 및 무선 업데이트와 같은 안전하고 효율적인 IoT 관리
• 이상 행위 탐지와 같은 새로운 지능형 보안 위협에 대처하는 보안 애널리틱스


저작권자 © 아이티비즈 무단전재 및 재배포 금지
김문구 기자
김문구 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
최신순 추천순