Home > 전체기사

사물인터넷 장비를 겨냥한 사이버 공격, 어디까지 심해지려나

  |  입력 : 2022-01-26 18:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 장비는 태생적으로 위험할 수밖에 없다. 시장의 논리에 따라 보안성에 대한 고려 없이 제조되는 것이 보통이고, 거의 모든 장비들이 비슷한 펌웨어 기반을 가지고 있어 공격자들이 쉽게 공략할 수 있기 때문이다. 앞으로 더한 공격이 등장할 수밖에 없다.

[보안뉴스 문가용 기자] 사물인터넷 장비들을 겨냥한 사이버 공격이 증가하면서 보안 전문가들의 보안 경고가 계속해서 나오고 있다. 보안 업체 인텔471(Intel 471)의 경우 1월 25일자 블로그 게시글을 통해 “사물인터넷 장비 해킹을 통해 비밀 정보가 새나가거나 공격자들을 위한 거대 봇넷이 만들어지고 있다”고 경고했다. 또한 미라이(Mirai)와 가프짓(Gafgyt)의 변종들도 계속해서 등장하고 있다는 내용을 게시하기도 했다.

[이미지 = utoimage]


올해 이러한 움직임은 더욱 심해질 거라고 인텔471은 예측한다. 첩보 책임자인 마이클 드볼트(Michael DeBolt)는 “사물인터넷의 활용도가 높아짐에 따라 기업들의 의존도가 높아지고 있다”고 설명한다. 그러면서 “현재까지는 주로 봇넷 구성과 디도스 공격의 비중이 높았지만 앞으로는 랜섬웨어를 동반한 표적 공격과 접근 제어 브로커들의 공격 경로 확보 시도가 이어질 것으로 보인다”고 설명하기도 했다.

게다가 사물인터넷 시장에서 최근 나타나고 있는 두 가지 흐름이 상황을 악화시키고 있기도 하다. 장비 제조사들이 관리와 업데이트를 편리하기 위해 연결 기능과 추가 서비스를 제품들에 더덕더덕 붙이고 있는 것이 첫 번째 흐름이다. 이 때문에 공격자들의 공격 경로가 기하급수적으로 늘어나고 있다. 게다가 장비의 보안 관리는 잘 되고 있지 않아 많은 장비들이 사실상 공격에 대해 활짝 열려있는 상태이기도 하다.

예를 들어 의료 업계에서는 이미 상당수의 사물인터넷 장비들이 현장에서 사용되고 있는데 이중 53%가 치명적 위험도의 취약점을 한 개 이상 가지고 있는 것으로 알려져 있다. 참고로 의료 현장에서 가장 많이 사용되는 장비는 약품을 환자에게 주입하는 펌프류와 환자의 상태를 모니터링하는 기기들이다. 사이버 공격에 당할 경우 환자의 목숨이 위험해진다.

보안 업체 사이네리오(Cynerio)는 “의료 업계는 네트워크 내 취약점 현황에 대한 가시성을 확보하는 것은 물론 상황 발생 시 효과적인 대응도 할 수 있어야 한다”고 주장한다. “병원은 생명을 관리하는 곳입니다. 보안 사고 발생 시 데이터를 더 모으거나 면밀히 사안을 주시할 필요가 없습니다. 대신 그 어느 조직보다 빠르게 대처할 수 있어야 합니다. 그러기 위해서는 사고가 터지기 전부터 능동적으로 위험 요인들을 발견하고 처치해야 합니다.”

그런 위험 요인 중 하나는 미라이(Mirai)라는 봇넷 멀웨어의 코드베이스다. 드볼트는 “미라이는 수년이 지난 지금도 사물인터넷 생태계에서 가장 빈번히 발견되는 위험 요소”라고 강조한다. 미라이는 2016년 처음 등장한 최초의 사물인터넷 봇넷 멀웨어로 주로 DVR과 같은 장비들을 감염시켰으나 현재는 수많은 변종들의 개발을 통해 훨씬 많은 기능을 갖춘 해킹 도구다. “최근 버전의 경우 공격 트래픽의 익명화까지 해서 표적이 된 시스템에 패킷을 대량으로 방출하기도 합니다.” 드볼트는 “6년이나 지난 멀웨어이지만 미라이는 여전히 현역”임을 강조한다.

시장에서 나타나는 흐름 중 두 번째는 사물인터넷 장비들 대다수가 리눅스나 윈드리버시스템의 VxWorks를 기반으로 작동한다는 점이다. 사물인터넷 장비들의 기본 OS들에서는 자주 취약점들이 발견되고 있고 이는 꽤나 많은 장비들에 동시다발적인 영향을 준다. 공격자들은 공격 효율을 중요시 하는데, 사물인터넷의 이러한 특성은 공격자들에게는 매력적인 요소로 작용한다.

“보통 사물인터넷이라고 하면 스마트 장비들을 자동으로 떠올리죠. 하지만 그런 스마트 장비들 자체보다 더 위험한 건 밑바탕에 깔려 있는 개발 키트와 OS입니다. 사물인터넷을 사물인터넷으로 만들어주는 바로 그 핵심 요소들이 바로 가장 위험한 부분들이기도 합니다.” 드볼트의 설명이다. “문제는 눈에 보이는 곳보다 더 깊은 곳에 존재한다는 것이죠.”

여러 취약점을 노리는 공격자들은 이제 사물인터넷에 대한 의존도 자체를 쥐고 흔들 가능성이 높다. 여태까지는 장비를 장악한 후 그것을 발판 삼아 다른 시스템이나 네트워크를 디도스 공격으로 마비시키는 것이 거의 전부였는데 이제는 장악한 장비 자체를 노리고, 심지어 사용자를 협박할 수 있다는 것이다. 그래서 드볼트는 사물인터넷에서도 랜섬웨어 공격이 발생하고 또 유행할 가능성을 높게 보고 있다.

하지만 아직 다크웹에서 그러한 동향이 눈에 띄지는 않는다. 드볼트는 “다크웹에 이야기가 나오고 시작하고 대응하면 늦을 수 있다”고 주장한다. “만약 조직 내에서 사물인터넷을 담당하고 있다면 사물인터넷 랜섬웨어라는 것이 나타날 가능성을 염두에 두는 것이 좋을 것입니다. 하나 둘 필요한 조치들을 미리 취하는 것이 나중에 큰 도움이 될 것이고요.”

3줄 요약
1. 사물인터넷에 대한 각종 산업 현장에서의 의존도는 높아지고 있음.
2. 여러 기능들이 장비들에 추가되고 있는데(스마트), 정작 사물인터넷의 정체성이 되는 OS는 거의 변함이 없고 장비들마다 동일하다시피 해 위험.
3. 사물인터넷에 랜섬웨어를 심는 공격이 조만간 유행할 수도 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)