디지털 기기들의 반란이 시작됐다

아이팟·닌텐도·휴대폰·카PC 등 임베디드 기기 해킹연구 활발

관련 기기 산업체들, 이러한 연구에 주목해야

‘디지털 기기들의 반란’이라고 해야 할까. 최근 정보보호가 필요한 기기들이 일반 네트워크 장비와 정보통신 장비에서 확대돼 새로운 기기가 나올 때마다 이슈가 되고 있다. 특히 얼리어답터의 선봉에 서있는 대학생과 20대를 중심으로 활발한 연구가 이루어지고 있어 향후 이 분야 정보보호 이슈들이 계속 증가할 전망이다.

젊은 층에 인기가 있는 닌텐도와 아이팟을 비롯해 우리가 일반적으로 사용하고 있는 휴대폰, PDP 그리고 카PC 등의 임베디드 기기들이 주요 연구대상이 되고 있다. 이들 모두 무선환경에서 해킹프로그램을 설치할 수 있어 이를 이용해 타깃 네트워크에 접근해 노트북과 동일하게 해킹작업이 가능하다는 것이 요지다.

지난 26일 막을 내린 대학 연합 해킹·보안 컨퍼런스 ‘PADOCON 2008’에서는 각 대학이 하나씩 임베디드 기기들을 1년간 연구해 이를 발표하는 시간이 있었다. 이에 참가자들은 많은 관심들을 보였고 해당 기기 기업에서도 관심을 보이고 있는 중이다. 그 중 몇 가지를 소개한다.

아이팟으로도 다양한 해킹 가능

아이팟 해킹을 공동 연구한 순청향대학교 정보보호학과 4학년 여돈구·김관수·최현우 학생은 “아이팟은 맥OSX 환경에서 구동되고 무선랜이 설치돼 있기 때문에 해킹에 필요한 머신들을 맥 환경에서 크로스 컴파일 해 해킹머신으로 활용할 수 있다”며 “아이팟을 이용해 무선환경에 접속할 수 있고 또 다른 아이팟 사용자의 PC에 침투나 아이팟 자체의 취약점을 활용해 다양한 해킹이 가능하다는 것을 알았다”고 말했다.

카PC를 이용한 워드라이빙 공격...막기는 불가능

동명대학교 정보통신공학과 ‘Think’ 소속 최영남 기술지원팀장은 “앞으로 카PC가 현재 네비게이션 처럼 많은 사람들이 사용할 것”이라며 “카PC를 이용해 차로 이동하면서 무선랜 해킹을 시도하는 워드라이빙 공격을 연구했다”고 말했다.

그는 “워드라이빙이란 차로 이동하면서 타인의 무선랜 네트워크에 무단으로 접속하는 행위를 말한다”며 “그 위험성은 단말기가 내부 네트워크의 통신 자원을 무단으로 사용하는 것뿐만 아니라 AP가 점유당하면 모든 공격을 당할 수 있다. 거의 막을 수 없을 것”이라고 경고했다.

닌텐도에 해킹툴 설치해 원격공격 가능

이외에도 지난해부터 이슈가 되었던 닌텐도를 이용한 해킹 시연도 있었다. 수원대학교 ‘FLAG’ 소속 정보통신공학과 4학년 박성근 학생은 “닌텐도에 사용자들이 쉽게 프로그래밍 할 수 있는 홈브류 프로그램을 설치하고 이를 이용해 닌텐도를 노트북과 같은 기능으로 만들어 해킹이 가능하도록 설치할 수 있다”고 소개했다.

또 홈브류 프로그램을 사용하면 닌텐도 기기로 게임 이외에도 메신저도 가능하고 VoIP 폰 기능도 가능하며 FTP 서버로도 활용이 가능하다고 학생들은 말하고 있다. 거기에 악의적인 마음만 먹으면 충분히 빅팀 PC를 원격제어할 수 있는 해킹도구로도 활용이 가능하다는 것이다.

사방 10~100미터 이내 휴대폰 정보 모두 빼낼 수 있다

휴대폰을 활용한 해킹도 이슈가 되고 있다. 이를 ‘블루 스나프(Snarf)’ 공격이라고 한다. 파도콘 회장이자 충남대학교 대학원생인 지현석 씨는 “국내 휴대폰을 대상으로 2년정도 연구했다. 그래서 지난해 블루투스 공격에 대해서도 발표한바 있다”며 “올해는 휴대폰에 있는 자료를 유출할 수 있는 공격방법을 이번 파도콘에서 발표했다. 주로 통화목록이나 사진 등 대부분 폰 자료를 가져올 수 있다. 사진은 PDA로 받아서 보면된다”고 말했다.

그는 또 “노트북에 ‘동글이’를 설치하면 블루투스가 된다. 이를 활용해 리눅스 환경에서 공격툴을 만들 수 있다”며 “이를 활용해 사방 10~100미터 내의 모든 휴대폰을 공격할 수 있다. 외국의 경우는 3Km 이내 휴대폰 모두가 공격대상이 될 정도로 발전해 있다”고 덧붙였다.

이처럼 새로운 형태의 디지털 기기들은 계속해서 등장할 것이고 그에 따른 정보보호의 홀도 더욱 커질 전망이다. 악성 크래커가 회사에 닌텐도나 아이팟을 들고 들어와 노트북으로 할 수 있는 모든 크래킹을 시도한다면 어떻게 될까. 또 차를 타고 이동하면서 카PC를 이용해 무선 공격을 감행한다면 이를 어떻게 막을 수 있을까. 또 커피숍 안에 있는 모든 휴대폰 정보를 누군가가 다 보고 있다면 기분이 어떨까 생각해볼 문제다.

[길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)