본문 바로가기

안전한사이버세상

IoT 동향 및 보안 이슈

  어느 추운 겨울 퇴근길, 빨리 집에 돌아가 쉬고 싶은 마음에 걸음을 재촉하다가, 싸늘한 집에 하루 내 쌓여있을 먼지와 바빠서 처리하지 못한 세탁물과 설거지 생각에 이내 발걸음이 무거워집니다.
  하지만 걱정도 잠시, 퇴근길 지하철 안에서 스마트폰을 꺼내 아파트앱을 실행시킵니다. 원격으로 보일러를 가동시켜 집안을 따뜻하게 하고, 로봇청소기와 공기청정기를 작동시켜 청소를 시키고, 식기 세척기와 세탁기를 작동시켜 묵혀두었던 설거지와 빨래를 해결합니다.
  이처럼 스마트폰 하나로 집안의 모든 제품을 제어할 수 있게 해 주는 기술이 바로 사물인터넷(IoT)입니다. 물론 아직은 IoT가 불가능한 가구가 더 많고 이를 구축하는데 비용이 발생하지만, 요즘 짓는 아파트들은 일정 수준의 홈네트워크를 기본적으로 구축해 놓고 IoT를 활용하고 있습니다.
  이번 시간에는 IoT가 무엇인지 한번 알아보고, 이러한 기술이 과연 안전하며 보안 문제는 없는지 되짚어보고자 합니다.

 

< IoT의 정의 >
  IoT(Internet of Things), 즉 사물 인터넷이란 인터넷에 연결된 사물을 통해 수집한 정보를 분석하고, 그 분석에 기반한 서비스를 사용자에게 제공하는 기술입니다. 유·무선 통신망으로 연결된 기기들이 사람의 개입 없이 센서 등을 통해 수집한 정보를 서로 주고받아 스스로 일을 처리하는 것을 의미합니다.

 

< IoT의 동향 >
○ 기하급수적으로 증가하는 IoT 기기들
  - 세계적인 IT리서치 기업인 가트너(Gartner)는 2016년 기준으로 전세계에서 사용 중인 연결 기기의 수가 60억 개를 넘어섰으며, 2020년까지 최고 200여억 개에 이를 것으로 예상했습니다.
○ IoT를 가능하게 한 융합 기술의 개발
  - 전자기기 등 사물에 설치할 수 있는 작고 강력한 데이터 센서, 각 기기를 연결해 줄 고속의 유비쿼터스 인터넷, IoT 데이터를 처리할 수 있는 데이터 과학, 사물에 적용할 이벤트 중심 아키텍처*, 연결된 기기를 제어하고 모니터링 하는 모바일 기기 등과 같은 관련 기술의 개발 및 발전으로 IoT 구현이 가능하게 되었습니다.

 

* 이벤트 중심 아키텍처란?
  커피주문을 예를 들면, 카페에서 커피를 주문하는 경우(이벤트발생) 직원은 주문목록을 작성하여 손님에게 진동벨을 나눠줍니다.(수신행위) 이어서 주문목록을 건네받은 바리스타는 커피를 추출하고(실행행위), 커피 제조가 완료되면 사용자의 진동벨로 호출을 합니다.(처리행위).
  이렇게 특정 이벤트가 발생한 후 처리까지의 일련의 과정들을 ‘이벤트 중심 아키텍처’라고 합니다.

 

 

< IoT의 적용 분야 >
  생활 편의, 산업현장에서 생산성 향상 등 다양한 분야에서 IoT 기술이 적용되고 있습니다.

 

○ 홈·가전 IoT
 - 스마트폰과 태블릿으로 외부에서 가정 내 조명과 TV, 시계, 스피커 등을 조절할 수 있습니다.
○ 웨어러블 IoT
 - 인체에 붙이거나 입는 형태의 IoT기기로, 대표적으로 삼성기어 및 애플워치와 같은 스마트워치가 있으며, 착용자의 심박수를 측정하거나 운동 소모 칼로리를 계산을 해주는 스마트밴드 등 다양한 기기들이 출시되고 있습니다.
○ 스마트카 IoT
 - 커넥티드카(Connected Car)라고도 불리며 상시 네트워크에 연결된 차량에 IT기술을 적용하여 다른 차량이나 교통 및 통신 기반시설과의 실시간 소통을 통해 안전하고 편안한 운전을 도와줍니다.
○ 산업 및 환경용 IoT
  - Industrial IoT, IIoT, I2oT, Industry 4.0 등 다양한 명칭으로 불리우는 산업용 IoT는 운송, 제조, 소비재, 석유, 가스, 화학, 플랜트 등 산업 분야 전반에 걸쳐 적용되고 있습니다. IoT라는 개념을 가장 먼저 도입한 기업으로는 항공기 엔진, 가전제품, 의료기기 등 세계적인 제조업체인 제너럴 일렉트릭(GE)이 있습니다. GE는 2014년 프리딕스(Predix)라는 제조용 IoT 플랫폼을 출시했는데 이 플랫폼을 통해 자사의 1조개의 관리자산에 부착된 1천만개가 넘는 센서에서 발생하는 대용량 데이터를 분산 저장하여, 수집, 분석, 모니터링하고 있습니다.

 

< IoT 해킹 사례 >
  위와 같이 여러 분야에서 편리하게 사용되는 IoT기술들은 IT기술을 기반으로 하기 때문에 원천적으로 해킹의 위험에 노출되어 있습니다. 더구나 최근에는 보안에 취약한 IoT 기기들이 우후죽순 등장하면서 해킹에 더욱더 취약해지고 있는데 이와 관련된 몇 가지 사례를 소개하겠습니다.

 

○ 2009년 1월, 미국 텍사스 오스틴에서 해커가 원격으로 교통 제어장치에 접근하여, 교통표지판에 ‘주의, 전방에 좀비’라는 메시지를 노출시켰습니다.
○ 2014년 1월, 미국 보안서비스업체 프루프포인트는 ‘2013년 말부터 2014년 초까지 발송된 전세계 피싱 또는 스팸메일의 25%가량이, 사용자의 스마트 가전제품을 해킹하여 획득한 정보를 통해 발송되었다.’고 밝혔습니다. 해킹된 스마트 가전제품은 대부분 기본 암호를 사용하여 공개 네트워크에 접속되어 보안에 취약한 경우가 많았으며, 일명 ‘씽봇(Thingbot)’이라는 해킹툴이 사물인터넷 네트워크에 침입해 스마트 가전제품에 설치되어 해킹이 이루어진 것으로 파악되었습니다.
○ 2015년 7월, 트위터의 보안연구원들이 크라이슬러 체로키의 차량 컨트롤 시스템인 유커넥트(Uconnect) 시스템에 접속하여, 자동차의 펌웨어를 변경한 후 제어권을 탈취하는 모의해킹 테스트를 실시하였습니다.
○ 2016년 4월, 여수 버스정보 안내시스템에서 음란 동영상이 노출되었는데, 자가망이 아닌 저렴한 일반 임대망을 이용하였기 때문에 해킹에 취약하였던 것으로 드러났습니다.
○ 2016년 5월, 미국 미시간대학교의 한 보안연구팀은 ‘삼성의 스마트홈 플랫폼인 SmartThings과 관련된 앱의 취약점을 이용하여 스마트 도어락의 비밀번호를 변경할 수 있는 정보를 탈취할 수 있다’는 내용의 보고서를 발표하였는데, 특정한 앱이 과도한 권한을 사용하게 된 것이 원인이라고 지적하였습니다.
○ 2016년 9월, ‘미라이 봇넷’(미라이 악성코드에 감염된 IoT 기기)이 미국 북동부 뉴햄프셔에 있는 인터넷 인프라 회사인 딘(Dyn)에 대한 DDoS 공격을 하여 미국 인터넷을 3시간가량 접속 불가 상태로 만드는 피해를 입혔습니다. 당시 미라이에 감염된 10만대 기기가 공격을 일으켰는데, 보안회사인 Akamai에 따르면 지금까지 보았던 DDoS 공격 중 가장 큰 규모의 DDoS 공격이었다고 합니다. 이러한 미라이 봇넷이 기반으로 삼고 있는 것은 PC가 아닌 바로 IoT 기기입니다.
○ 2017년 10월, 보안업계는 ‘IoT리퍼’로 명명된 거대 봇넷의 위협을 경고했습니다. 영국의 IT미디어 더레지스터(The Register)는, ‘IoT리퍼 악성코드가 웹캠과 홈 라우터, NAS(클라우드 스토리지) 등을 감염시켜 거대한 봇넷을 만들어 지난해 미라이 봇넷보다 20배나 큰 거대한 분산서비스거부(DDoS) 공격을 일으킬 수 있다.’고 보도했습니다.

 

  이와 같은 보안사고가 발생하는 주요 원인으로는, ① 빠른 시장에 대응하기 위해 보안 기능을 포함하지 않은 저가의 하드웨어가 앞다투어 출시되고, ② 다양한 기기가 출시되면서 수많은 공격 시나리오가 만들어져 이에 대해 일일이 대응하기 어려워진 것이 주요 원인으로 보입니다. 하지만 무엇보다 가장 큰 이유는 ③ 사용자의 낮은 보안인식인데, 사용하는 기기들의 접근 암호나 권한 등을 설정하지 않거나 기본 설정으로 사용하는 것은 해킹 위협에 노출되어 보안사고로 이어질 수 있기 때문에 피해야 합니다.

 

< IoT 보안 이슈 및 대응방안 >
  그렇다면 이러한 IoT 보안 위협에 대응하기 위해서는 어떻게 해야 할까요? 제조사 뿐만 아니라 사용자들도 어떠한 노력을 해야하는지 알아보겠습니다.

 

○ 물리적 기기, 네트워크, 기기 사용자 단계별로 보안 기법 적용
  제조사들은 IoT 기기에 보안운영체제 설치, 저전력 모바일 전용 암호화 기법 적용, 기기위변조방지 보안 솔루션 설치 등을 통해 보안을 강화해야 합니다. 또한 IoT 네트워크에 보안게이트웨이를 설치하고 침입탐지 대응 기술과 원격 보안 관리 기술을 적용하여 보안을 강화해야 할 것입니다.
  그리고 IoT 기기를 사용하는 사용자들은 비밀번호 외에도 목소리·얼굴·지문·홍채 등 스마트 인증수단을 사용하고 백신과 같은 보안 솔루션 등을 설치하여 보안을 강화해야 할 것입니다.

○ 한국인터넷진흥원 발간 「홈·가전 IoT보안가이드」
  한국인터넷진흥원은 2017년 발생할 주요 사이버 공격 위협을 전망하며, 좀비화된 IoT 기기가 사이버 무기로 이용될 수 있다는 점에 우려를 표한 바 있습니다.
  이에 한국인터넷진흥원은 IoT 기기를 개발하는 기업과 이를 이용하는 사용자 모두의 노력이 필요함을 강조하며, 기업과 사용자 관점에서 반드시 조치해야 할 보안 대응 요소를 포함한 ‘홈·가전 IoT 보안 가이드’와 ‘IoT 공통보안원칙’을 발간하였는데 이를 참고하는 것도 보안위협에 대응하는 좋은 방법이 될 수 있습니다.
 ※ 해당 가이드는 한국인터넷진흥원 사이트(kisa.or.kr) 자료실에서 다운로드할 수 있습니다.

 

 구분 

 홈·가전 IoT 보안 가이드

 기업용

 - 웹 인터페이스 보안
 - 인증/허가 보안
 - 네트워크 서비스 보안
 - 모바일 앱 보안
 - 펌웨어 보안

 이용자용

 - 패스워드 설정
 - 암호화 설정
 - 접근제어 설정(IP/MAC 주소 인증)
 - 펌웨어 업데이트 

[ KISA 홈·가전 IoT 보안 가이드 요약 ]