모두가 알아야 할 IoT 공격

IoT가 조직과 개인의 일상 생활에 가져온 혁신은 최근 몇 년 동안 급증했습니다. 예를 들어, 자동차 회사의 조립 라인을 거닐면 최소한의 인간 감독이나 전혀 없이 일련의 활동이나 배치 활동을 실행하는 지능형 기술을 볼 수 있습니다.

영국 기반의 온라인 슈퍼마켓 스타트업인 Ocado와 Amazon은 주로 IoT를 기반으로 한 대규모 식료품 분류 및 배송 기술을 개발했습니다. 또한 원격으로 작동할 수 있는 가정용 기기와 장치들도 있습니다. 좋은 예로는 감시 카메라, 조명 시스템, 자동 차도, 현지 날씨 예보를 분석한 후 잔디에 물을 뿌리는 스프링클러 시스템, 스마트 전자레인지, 완전히 동기화된 아파트 등이 있습니다.

IoT 기능을 갖춘 이러한 스마트 기기는 최적의 효율성을 위해 활성 인터넷 연결이 필요합니다. 그러나 IoT 기기를 인터넷에 연결하면 모든 네트워크 기기에 공통적인 잠재적 보안 위협에 노출됩니다. 인터넷 접속이 제공하는 연결의 광대한 기회는 거의 항상 보안 도전과 대비됩니다. 여전히 인터넷을 이용하려는 자원(하드웨어 및 소프트웨어 모두)을 찾는 사람들이 있습니다. 해커들은 식기세척기나 온도조절기와 같이 해가 없어 보이는 기기를 사용하여 그렇지 않으면 안전한 네트워크에 취약한 허점으로 사용할 수 있습니다.

IoT 기기는 취약한가요?

그러나 IoT 기기는 취약한가, 아니면 기술 애호가들이 IoT를 채택하는 것을 막기 위한 단순한 음모론에 불과한가? 다음 섹션에서 강조된 인터넷의 보안 침해 사례와 IoT 기기가 정기적으로 의심받는 명백한 증거들이 우리의 질문에 답한다.

IoT 공격의 유명한 예시들

IoT 공격 사례는 여러 가지가 있습니다; 이것들은 보다 명확한 그림을 만들기 위해 도움이 되는 몇 가지입니다:

1. 다인에 대한 미라이 단속

2016년 후반부에, 해커들이 유명한 도메인 네임 서비스 제공업체인 Dyn의 컴퓨터 네트워크를 침해했습니다. 당시 Dyn은 Twitter, Netflix, Reddit, CNN, 그리고 The Guardian과 같은 회사들의 DNS 제공업체였습니다. DDoS 공격은 Mirai라는 악성 소프트웨어를 사용하여 원격 제어를 통해 약 600,000개의 IoT 기기와 다른 컴퓨터를 모집한 해커들에 의해 수행되었습니다.

Mirai 봇넷 공격은 회사의 네트워크 자원을 압도하여 몇 시간 동안 Dyn을 마비시켰습니다.

2. 납치된 SUV들

이 경우 해킹은 단지 시뮬레이션이었지만, 우려할 만한 해킹이었습니다. 연구자들은 2015년에 모바일 전화망을 통해 Jeep SUV의 펌웨어 업데이트 취약점을 악용했습니다. 차량의 데이터 버스에 접근한 후, 연구자들은 차를 느리게 하거나 멈추게 하고, 도로에서 이탈시킬 수 있었습니다.

3. 실제 심장마비

의학 과학의 발전으로 심장 수술을 받았거나 심장 보조기나 제세동기를 이식한 사람들이 약한 심장을 보충할 수 있게 되었습니다. 미국 식품의약국(FDA)은 해커의 조작으로 이러한 심장 장치가 비활성화되거나 오작동할 수 있는 취약점을 확인했습니다. FDA는 특히 특정 병원에서 환자들에게 사용된 심장 이식물과 관련하여 이 발견을 우려하였습니다.

4. 카지노로의 열 접근

또 다른 널리 보고된 IoT 취약점 사례는 카지노의 수족관에 설치된 온도계 형태의 보안 허점을 발견한 해커 그룹에 의해 저질러졌습니다. 카지노의 네트워크에 접근한 후, 그룹은 성공적으로 시설의 민감한 데이터를 손에 넣었습니다.

5. 빅 브라더 접근

조지 오웰의 빅 브라더처럼, 몇몇 인터넷 연결 카메라들은 올바른 구멍을 파는 해커들에게 접근 가능합니다. CNN은 IoT 검색 엔진인 Shodan을 사용하여 이러한 장치들이 얼마나 취약할 수 있는지 증명하는 데 성공했습니다. Shodan을 사용하여, 이 사설 뉴스 회사는 전 세계 무작위 사람들의 카메라에서 생방송 피드를 방송했는데, 아마도 그들이 노출되었다는 사실을 알지 못한 채로 말이죠.

IoT 보안 취약성의 원인

IoT 기술의 도래는 여전히 전성기에 있으며, 도입에서 몇 가지 중요한 문제를 해결해야 합니다. 네, IoT 기기는 유용할 수 있지만, 혁신가들은 보안 취약성에 대한 급증하는 일일 보고를 해결하기 전에 기기의 기능적 안정성에 더욱 관심을 기울이고 있습니다.

1. 다음은 IoT 기기에서 경험한 보안 위협이 지속되게 만든 중요한 요소들입니다.

사용자의 무지나 부주의를 이용한 IoT 기기 침해

PC의 운영 체제를 공격하는 바이러스로부터 자신을 보호하거나 공용 Wi-Fi를 사용할 때 온라인 발자국을 숨기는 것과 관련하여, 이러한 기술의 평균 사용자는 꽤 잘 알고 있습니다. 하지만 IoT 기기와 같은 새로운 기술에 대해서는 사용자들이 새 냉장고의 GUI에서 날씨 예보를 확인하는 것에 더 관심을 가지며, 그것의 보안에 대해 걱정하는 일은 적습니다. “냉장고가 어떤 위험을 가질 수 있겠어?”라는 질문이 평균 사용자의 마음에 드는 것은 합리적인 질문입니다.

일부 경우에서 IoT 기술 사용자들은 자신들의 기기 보안에 대한 침해의 의미를 전혀 모르고 있습니다. 이메일 수신함에서 원치 않는 스팸을 처리하는 것은 문제가 되지 않습니다. 그러나 IoT 기기 사용자들을 대상으로 한 임의의 설문 조사는 그들이 이 쉽게 침투할 수 있는 기술들을 보호하는 기본을 이해하지 못한다는 것을 밝혀낼 것입니다. 일부 해커들은 사용자가 사회 공학을 통해 허점을 열어주면 이전에 안전했던 IoT 기기에만 접근합니다.

2. 주요 공격 이후의 보안 취약점

인터넷을 뒤흔드는 모든 주요 봇넷 공격 후에, 기술 제조업체들은 당연히 보안 중심의 패치로 기기를 업데이트해야 합니다. 그러나 인터넷 전반에 걸친 공격의 빈도가 보안 업데이트를 지치게 합니다. 그리고 불행히도, 해커들의 세심한 노력은 매 에피소드마다 취약한 허점을 남기며, 이는 적시에 해결되지 않을 때 종종 반복적으로 악용됩니다.

IoT 장치를 업데이트할 때 또 다른 주요 도전 과제는 대부분의 패치가 기술 지원 없이 자동으로 설치된다는 것입니다. 대부분의 경우, IoT 장치는 문서를 클라우드에 업로드하여 백업하고 설정을 다시 시작하거나 재구성하려고 할 때 잠시 동안 다운타임을 경험합니다. 이러한 기간은 인터넷 연결이 암호화되지 않았을 때 특히 해커들에 의해 악용될 수 있습니다.

3. 제조업체의 보안 표준 미준수로 인한 기기 노출

앞서 언급했듯이, 제조업체들은 소비자의 기능적 요구를 충족시키는 데 더 많은 관심을 가지고 있으며, 잠재적인 보안 취약점을 평가하지 않은 채 화려하고 혁신적인 기기들을 쏟아내고 있습니다. 이러한 발견은 시장에 새로운 IoT 기기가 등장할 때마다 해커들이 이용할 수 있는 새로운 취약점이 생긴다는 것을 의미합니다.

제조업체들은 여전히 혁신을 추구하며 활동 중이지만, 따라야 할 보안 표준에 대한 합의는 여전히 부족합니다. IoT 보안을 위해 오픈 액세스 기술이 제공하는 것과 유사한 결집 지점을 갖는 것은 그들에게 귀속된 많은 증가하는 도전을 없앨 것입니다. 하지만 안타깝게도, 제조업체들은 보안이 부족한 기능이 향상된 기기로 소비자들을 매료시켜 가장 큰 시장 점유율을 차지하려고 합니다.

4. IoT 장치의 물리적 취약성

대부분의 IoT 기기의 기능은 설치 후 인간의 제어 없이 작동하는 것을 포함합니다. 예를 들어, 두 개의 표준 축구장 크기에 해당하는 물리적 공간을 차지하는 Ocado의 자동화된 창고는 주로 IoT로 구동되는 로봇과 소수의 인간 직원에 의해 관리됩니다. 그러나 누구든지 원격 위치에 설치된 IoT 기기를 인간의 감시 없이 맬웨어를 설치하거나 기기의 사용 가능한 포트를 사용하여 쉽게 해킹할 수 있습니다. 예를 들어, CCTV 카메라는 쉽게 조작되거나 그렇지 않으면 보안된 네트워크로의 접근 지점으로 사용될 수 있습니다.

예를 들어, Ocado의 식료품 분류 로봇 중 하나에 대한 물리적 접근만으로도 전 세계 회사 창고의 보안이 침해될 수 있습니다. 즉, 공유 네트워크가 있다면 말이죠.

5. 봇넷에의 쉬운 모집

보안 패치를 간헐적으로 업데이트해야 하는 필요성 때문에 IoT는 해커들에게 쉬운 타깃이 되었습니다. 봇넷 공격을 시작하기 전에, 해커들은 여러 가지 방법 중 하나를 통해 취약한 기기에 악성 소프트웨어를 설치하여 자신들의 봇넷 군대를 구축합니다. 그 후, 타겟이 된 기기는 보통 컨트롤러 서버인 핸들러를 받게 되며, 이를 통해 지정된 인터넷 사용자에 대한 조정된 DDoS 공격을 실행하게 됩니다.

또한, 민감한 시스템에서 IoT 기기의 인기가 증가함에 따라, 해커들이 전력망, 난방 시스템, 교통 제어와 같은 필수 시설을 방해할 가능성이 생겼습니다.

6. IoT 기기를 스파이웨어로 조작하기

당신이 출장 중일 때 당신의 아이의 아기침대 카메라에 접근한 해커가 영상을 보내오는 상황을 상상해보세요. 이런 사람들은 당신의 가족의 사생활을 보호해주는 대가로 몸값을 요구할 수 있습니다. 기술적으로 능력이 있는 국가들의 중앙 보안 단위의 기술 팀들은 다른 사람들을 감시하기 위해 IoT 기기를 활용할 가능성이 높습니다.

결론 — 스마트 기기 사용 시 안전 유지하기

IoT 기기를 구매할 때 보안은 큰 관심사가 되어야 합니다. 해커들이 이용할 수 있는 몇 가지 취약점이 있기 때문입니다. 만약 IoT 기기를 구매해야 할 상황이 발생한다면, 활성 사용 전에 기본 사용자 이름과 비밀번호를 변경하는 것을 잊지 마십시오. 제조업체의 매뉴얼을 읽어 기기의 펌웨어를 업데이트하는 단계를 이해하십시오. 업데이트는 제조업체의 보안 팀이 성공적으로 차단한 구멍에서 비롯될 수 있는 위협으로부터 여러분을 안전하게 지켜줄 것입니다.