보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

알렉사 취약점의 패치가 발표되긴 했지만 IoT의 근본 문제는 여전

입력 : 2020-08-20 14:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한 번 클릭만으로 모든 방어 솔루션이 뚫릴 수 있다는 것이 현대 보안의 한계
IoT 보안, 소비자와 제조사 모두가 무관심...재택 근무 시대에 큰 사고로 이어질 듯


[보안뉴스 문가용 기자] 최근 알렉사 장비에서 발견된 세 가지 취약점에 대한 패치가 발표됐다. 지난 주 보안 업체 체크포인트(Check Point)가 발표한 이 취약점들은 재택 근무자가 늘어난 지금 상황에서 큰 사고를 일으킬 수 있는 것으로 밝혀졌다. 아마존의 알렉사는 현재 전 세계로 2억 대 넘게 출시되어 사용되고 있는 중인 것으로 알려져 있다.

[이미지 = utoimage]


이 취약점은 피해자가 악성 링크 한 번만 클릭하면 익스플로잇 되는 것으로, 공격에 성공할 경우 공격자는 사용자 이름, 전화번호, 집 주소, 인터넷 뱅킹 정보 등과 같은 민감한 정보가 새나갈 수 있게 된다. 체크포인트의 제품 연구원인 오데드 바누누(Oded Vanunu)는 “가정 네트워크는 보안 장치가 없다시피 하기 때문에 이 취약점은 큰 문제를 야기할 수 있다”고 경고한 바 있다. 알렉사는 대부분 가정에서 사용되는 기기다.

보안 업체 넷엔리치(Netenrich)의 CISO인 브랜든 호프만(Brandon Hoffman)은 “망분리를 하면 이 취약점이 별다른 위협거리가 되지 않지만, 일반 가정의 일반 사용자에게 망분리를 요구하는 게 과연 맞는 보안 권고 사항인가”라고 말한다. “소프트웨어 개발사와 하드웨어 제조사, 제품의 유통사 등에서 패치를 재빠르게 배포하는 것이 올바른 답입니다. 사용자들의 개입을 최소화시킨 보안 대책이 가장 효과적인 보안 대책입니다.”

보안 업체 룩아웃(Lookout)의 보안 솔루션 책임자인 행크 슐레스(Hank Schless)는 “‘사용자의 클릭 한 번’은 모든 방어 솔루션을 뚫는다”고 강조한다. “조직이 직원들 장비에 VPN을 설치하고, 다중인증을 정책적으로 강제하고, 모바일 관리 솔루션을 빠짐없이 깔아도 결국 사용자가 클릭 한 번 실수하면 그 모든 돈과 노력이 허사로 돌아갑니다. 그 한 번에 너무 많은 것이 무효화 되는 것이 현재 보안 시스템의 한계입니다.” 그렇기 때문에 슐레스는 앱 개발자 및 장비 제조사들과 보안 전문가들이 협력해서 보안 장치를 처음부터 삽입해 사용자들을 보호해야 한다고 주장한다.

체크포인트가 이 취약점들을 아마존 측에 알린 것은 지난 6월의 일이다. 체크포인트는 “아마존이 열린 자세로 취약점 보고서를 접수했고 문제를 거의 즉각적으로 고쳤다”고 말한다. “현재 IoT 제조사나 앱 개발사에게 바랄 수 있는 최대한의 양심은 이렇게 패치를 즉각 발표하는 것입니다. 모든 것을 완벽하게, 아무런 결함이 없는 제품을 만들 수는 없습니다. 그건 누구나 알아요. 대신 즉각적으로 잘못을 수정하는 건 누구나 할 수 있죠. 소비자들은 이런 점을 꾸준하게 요구해야 합니다.”

소비자들에게도 보다 안전한 장비 및 앱 사용을 위해 요구되는 것들이 있다. 하나는 앱을 조심스럽게 설치해야 한다는 것이다. 바누누는 “앱 설명은 물론 이용자 후기도 꼼꼼하게 읽어야 하며, 개발사도 검색해서 조사해보는 편이 좋다”고 권장한다. “이런 걸 죄다 무시하고, 아무 앱이나 보이는 대로 설치하면서 장비나 솔루션을 안전하게 만들지 않았다고 말할 수는 없습니다. 또한 설치 시 어떤 권한이 요구되는지도 파악해야 합니다.”

그 다음은 비밀번호나 은행 정보를 기입 및 공유할 때 한 번 더 확인하는 습관이다. “습관처럼 비밀번호를 입력하면서 로그인하면 안 됩니다. 은행 거래를 할 때 역시 일단 필요한 정보를 입력하고 보자는 태도도 곤란합니다. 한두 번 더 확인한다고 해서 시간이 많이 소요되는 것이 아니죠. 장비에 어떤 앱이 설치되어 있는지 주기적으로 확인하는 것도 좋은 습관입니다. 불필요한 앱들을 삭제해주면 장비도 더 쾌적해집니다.”

호프만은 “가정 네트워크를 노리는 공격자들이 많다는 건 이미 널리 알려진 사실이지만, 실제 사건사고가 잘 일어나지 않았던 것은, 일반 가정에 해커들에게 큰 이득이 될 만한 디지털 자산이 그리 많지 않았기 때문”이라고 설명하며 “최근 코로나로 각 기업들이 가정으로 들어가게 됐으니 이야기가 달라졌다”고 말한다. “이번에 발견된 알렉사의 취약점들의 경우, 노출될 수 있는 정보 자체가 범죄자들에게 큰 구미가 당기는 것은 아닐 겁니다. 대신 이 취약점들을 통해 다른 장비로도 접근할 수 있다는 건 큰 매력이 될 수 있습니다.”

보안 업체 벡트라(Vectra)의 보안 분석 수석인 크리스 모랄레스(Chris Marales)는 “이번 알렉사 취약점 사태를 보며, IoT 장비를 통한 공격 가능성이 실제이며 현존한다는 것을 모두가 알았으면 좋겠다”고 말한다. “이미 미라이(Mirai) 봇넷 사태 때 IoT 장비의 위험성은 증명됐었죠. 하지만 ‘내 장비가 못 쓰게 되는 일이 아니고, 이름도 얼굴도 모르는 누군가가 디도스 공격을 당하는 건 내 알 바 아니’기 때문에 좀처럼 고쳐지지 않고 있습니다. 따라서 알렉사 취약점이 조금 관심을 끈다고 해서 IoT 생태계가 크게 바뀌지는 않을 겁니다.”

그리고 제조사나 소비자가 모두 IoT 보안을 무시할 때 재택 근무자들을 통해 기업 네트워크로 침입하는 공격자가 더 많이 발생할 것이라고 모랄레스는 경고한다. “현존하는 모든 IoT 장비들은 보안 위협이라고 봐도 무방합니다. 인공지능 비서, 프린터, 카메라, MRI 스캐너 등 모두가 말이죠. 이런 장비들을 그저 편리한 기술이라고만 바라본다면(업체들이 그런 분위기를 조장하기도 하죠), 사이버 공격자들에게 더 편한 세상이 올 겁니다.”

3줄 요약
1. 지난 주 발견된 알렉사 취약점, 이번 주 패치 나옴.
2. IoT 제조사들에게 완전무결한 제품을 바랄 수는 없지만, 즉각적인 패치는 바랄 수 있음.
3. IoT 생태계, 제조사와 소비자 모두의 무관심 속에 점점 더 위험해지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)