Home > 전체기사

세계의 스마트시티들, 위험에 이미 노출돼 있다

  |  입력 : 2018-08-13 11:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사물인터넷 활용해 만들어가는 환경, 취약점 너무 쉽게 찾아낼 수 있어
각종 패닉 사태 유발은 물론, 재앙 시 대피 못하게 만드는 것도 가능해


[보안뉴스 문가용 기자] 올해 초 하와이에 거주자들 중 상당수가 패닉에 빠지는 일이 발생했다. 대륙간 탄도 미사일이 하와이를 향해 날아오고 있다는 경고가 모바일 기기에 일제히 뜨기 시작했기 때문이다.

[이미지 = iclickart]


다행히도 미사일은 없었다. 사람의 실수였을 뿐이다. 하지만 IBM 엑스포스 레드(X-Force Red)와 쓰레트케어(Threatcare)에 의하면 앞으로 이런 일이 자주 발생할 수도 있다. 사이버 공격자들이 미사일, 홍수, 산사태, 화산폭발 등과 같은 재난 관련 메시지를 거짓으로 발송해 대대적인 패닉 사태를 일으킬 수 있다는 것이다.

두 회사의 전문가들은 이른바 스마트시티용 제품들이라 하는 것들을 다양하게 실험해 이 같은 주장의 근거를 마련했다. 현재 수많은 도시들에서 트래픽 관리나 대기 상태 모니터링, 재난 탐지 및 대응 등을 위해 스마트시티의 기능들을 도입 중에 있는데, 이것에 대한 오용 가능성을 조사한 것이다.

이들이 실험하고 조사한 건 크게 세 가지 종류의 기기들로, 1) 산업용 IoT, 2) 스마트 교통 시스템, 3) 재난 관리 장비가 바로 그것이다. 댐의 물 수위를 자동으로 측정해 경고를 발송해주는 장치와 원자력 발전소에서 방사능 수치를 모니터링 해주는 장비, 고속도로에서 교통 상황을 모니터링하는 장비 등이 여기에 포함된다.

이 조사를 통해 연구원들은 총 17개의 제로데이 취약점들을 찾아냈고, 이 중 8개는 치명적인 위험도를 가지고 있었다. 또한 리벨리움(Libelium), 에셜론(Echelon), 바텔(Battelle)이라는 세 개 회사에서 만든 네 개의 스마트시티 제품에서였다. 쇼단(Shodan)이나 센시스(Censys)와 같은 평범한 검색 엔진을 통해 이러한 취약점이 포함된 장비를 수천 개 찾아내기도 했다.

거기서부터 인터넷 검색을 통해 어떤 조직에서 그러한 장비들을, 어떤 목적으로 사용하고 있는지도 알아낼 수 있었다. "예를 들면 유럽의 한 조직이 스마트 장비를 사용해 원자력 발전소의 방사능 양을 측정하고 있다는 것과, 미국의 한 도시에서 스마트 센서를 사용해 교통 상황을 모니터링하고 있다는 것을 파악하는 것 정도는 어렵지 않게 찾아낼 수 있었습니다. 미국과 유럽의 여러 주요 도시들에서 대부분 이 취약한 기기들이 사용되고 있었다.

IBM과 쓰레트케어는 조사의 결과를 세 개 회사에 알렸고, 장비 제조사 세 곳은 취약점들을 패치해 소프트웨어 업데이트를 배포하기 시작했다. 사용자 기업 및 조직들에도 이 같은 사실을 알리고 패치를 적용하도록 했는데, 모두 자신들이 사용하고 있는 제품에 대한 패치를 적용했다.

IBM 엑스포스의 연구 조사 책임자인 다니엘 크롤리(Daniel Crowley)는 연구 결과에 대해 “충격적”이라고 표현한다. “취약점과, 그것에 대한 익스플로잇을 발견했을 때, 대단한 노력을 한 게 아니었습니다. 어느 정도 이 분야의 지식과 나쁜 의도만 가지고 있으면 얼마든지 스마트시티 시스템을 농락해 거주자들에게 불편을 끼치는 건 물론 재난과 비슷한 사태를 만들 수도 있습니다.”

그러면서 예를 하나 드는데, “공격자가 물 높이 센서를 공격한다고 했을 때, 홍수가 나지도 않았는데 홍수 경보를 발령해서 지역 내에 대 혼란을 야기할 수도 있고, 반대로 물 수위가 높아졌는데 센서를 마비시켜 아무도 대피하지 못하도록 할 수도 있습니다. 재앙을 눈앞에 닥쳐서야 알 수 있게 되는 것이죠.”

또한 방사능 경고 시스템도 대단히 위험한 공격에 활용될 수 있다고 크롤리는 지적한다. “방사능은 심지어 눈에 보이지도 않는 재난이죠. 여기서 오류가 나면 대중들이 쉽게 공포에 빠집니다. 지역 내 큰 혼란을 야기시킬 수 있어요. 홍수는 눈에 보이지 않으면 사람들의 패닉이 가라앉을 수도 있지만 방사능은 그렇지 않습니다.”

교통 신호를 공격하면 어떤 일이 일어날까? “대단위로 ‘트래픽 잼’ 사태를 만들 수 있습니다. 교통사고를 유발할 수도 있고요.”

이번 연구에서 크롤리가 가장 놀랐던 것은 “취약점이 있다는 것이 아니라, 그 취약점을 너무 쉽게 찾을 수 있었다는 것”이라고 한다. “저희는 굉장히 깊은 연구를, 장시간 진행해야 할 것으로 예상했어요. 하지만 시작해보니 전혀 그렇지 않더군요.” 이들이 찾아낸 건 “디폴트 비밀번호, 하드코드 된 관리자 계정, SQL 주입 오류, 인증 우회 오류, 비밀번호의 평문 저장 등의 흔한 취약점들이었다.

“현재 스마트시티는 이미 위험에 노출되어 있는 상태입니다. 수억 대가 넘는 사물인터넷 장비들이 스마트시티를 구축해갈 텐데, 지금 이 상황을 유지한다는 건 기술을 발전시켜 더 위험한 미래로 가고 있는 것과 다름이 없습니다.”

3줄 요약
1. 스마트시티 개념의 중추적인 역할을 하는 건 사물인터넷 장비들.
2. 재난 감시, 교통 통제 등에 사용되는 사물인터넷 장비들, 수많은 취약점 가지고 있음.
3. 이대로 가다간 돈과 노력 투자해, 일부러 위험한 환경 만드는 꼴.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)