본문 바로가기 주메뉴 바로가기 검색 바로가기
수많은 IoT 기기의 중대한 보안 취약점, 수정 불가능하다?
상태바
수많은 IoT 기기의 중대한 보안 취약점, 수정 불가능하다?
암네시아:33은 가장 최근 발견된 오래된 취약점이다. IoT가 설치된 무수히 많은 기기에 영향을 미칠 위험이 있다.
By LILY HAY NEWMAN, WIRED US

현재, 저렴한 일반 사물인터넷(IoT) 제품이 기기 수백만, 혹은 수천만 대가 노출될 수 있는 보안 취약점을 옮긴다는 주장은 아주 흔한 주장이다. 그러나 그 어느 때에도 IoT 보안 문제가 매우 시급한 적은 없었다. 현재 IoT 보안 기업 포스카우트(Forescout)가 새로 발표한 연구 결과를 통해 오픈소스 인터넷 프로토콜 묶음에서 33가지 결함을 발견한 사실을 공개했다. 모두 IoT가 설치된 기기 수백만 대를 정보 탈취, 서비스 거부, 전체적인 제어 능력 장악하는 공격이다. 공격을 받은 기기의 범위는 스마트홈 센서와 조명, 바코드 판독기, 기업 네트워크 장비, 건물 자동화 시스템, 산업 제어 장비 등이다. 보안 패치를 설치했다면, 발생하기 어려운 공격이다. 또한, 해커는 포스카우트가 발견한 취약점을 광범위한 네트워크에 접근하기 위한 첫 번째 단계로 악용할 수 있다.

포스카우트 연구진은 12월 9일(현지 시각)에 열린 블랙햇 유럽(Black Hat Europe) 보안 컨퍼런스에서 오픈소스 “TCP/IT 스택” 7곳에서 발견된 취약점을 설명한다. 기기와 인터넷과 같은 네트워크 사이의 합의된 연결인 네트워크 통신 프로토콜 모음이다. 포스카우트는 150여 개 업체의 기기 수백만 대에 모두 합쳐 ‘암네시아:33(Amnesia:33)’이라는 이름으로 불리는 33가지 보안 취약점이 포함됐을 수 있다고 추산한다.

“IoT 보안 상황이 매우 우스울 정도로 엉망이다”
앵 쿠이, 레드벌룬

7가지 스택 모두 오픈소스이며, 여러 형태로 수정되고 재공개됐다. 그중 5개는 20년 가까이 존재했으며, 나머지 두 개는 2013년에 처음 등장했다. 스택이 오래 존재했다는 사실은 각각의 스택이 보안 패치를 배포할 중앙 기관이 없는 상태에서 다양한 버전으로 공개됐음을 의미한다. 패치를 배포할 중앙 기관이 있더라도 제품에 코드를 삽입한 제조사 모두 적극적으로 수정된 버전과 새로 구축된 버전에 사용할 패치 수정을 적극적으로 적용하고, 사용자에게 배포했어야 한다.

포스카우트의 연구 부분 부사장인 엘리사 콘스탄트(Elisa Costante)는 “개인적으로 가장 우려하는 부분은 보안 취약점 때문에 발생할 파장이 얼마나 큰지, 그리고 보안이 취약한 기기가 얼마나 많이 출시됐는지 파악하기 어렵다는 점이다”라고 밝혔다. 또, 그는 “이처럼 취약점을 지닌 스택은 오픈소스이기 때문에 누구나 이를 옮기고 사용할 수 있다. 또한, 문서화할 수도 있다. 지금까지 포스카우트가 연구한 기기 150개는 문서화된 스택에서 발견할 수 있는 기기였다. 그러나 셀 수 없을 정도로 많은 기기에 아직 우리가 알지 못하는 보안 취약점이 존재하리라 확신한다”라고 덧붙여 전했다.
 
[사진=Freepik]
[사진=Freepik]

더 심각한 점은 기기 제조사가 패치 보급을 원했거나 시도했어도 실제로 직접 패치 설정을 쉽게 추진할 수 없다는 점이다. 많은 제조사가 외부 실리콘 제조사의 시스템온칩(SoC)에서 TCP/IP 스택을 받는다. 외부 실리콘 제조사도 마찬가지로 보안 수정 과정에 참여해야 한다. 다수 외부 칩 제조사가 패치를 배포할 방법이 있는 것과는 거리가 멀다. 일례로 포스카우트 연구팀은 일부 사례에서 다양한 범위에서 발견된 취약점 모두 파산하고 문을 닫은 SoC 제조사 한 곳에서 추적할 수 있다는 사실을 확인했다.

오랫동안 IoT 해커로 활동한 수정 보안 기업 레드벌룬 시큐리티(Red Balloon Security) CEO인 앵 쿠이(Ang Cui)는 “IoT 보안 상황이 매우 우스울 정도로 엉망이다. 더는 어떤 말을 해야 할지 모르겠다”라고 말했다. 이어, 그는 “IoT 보안이 엉망이라고 말할 수 있지만, 놀라운 일이 아니다. 그러나 실제로 IoT와 같은 대대적이면서 전체적인 관계에 위험이 커지고 있다. 해커가 접근해, IoT 보안 취약점을 악용하기 시작한다면, 많은 이들이 매우 놀랄 것이다. IoT 제품 보안을 위한 더 나은 조치가 필요하다”라고 주장했다.

포스카우트 연구진이 발견한 취약점 다수는 시스템이 문제 값이나 실행을 받아들이도록 유지하는 이른바 입력값 검증 확인 부족과 같은 기본 프로그래밍 관리 문제이다. 일련의 계산을 처리하는 방법을 찾아내는 데 실패해, 대신 입력값을 0으로 나눌 때 오류가 발생하는 계산기를 생각해보면 된다. 많은 버그가 결과적으로 암네시아:33이라는 이름이 붙은 메모리 손상 결함이다. 해커는 기기 메모리에서 데이터를 읽거나 메모리에 데이터를 추가해, 갑자기 정보 탈취, 기기 손상 혹은 제어를 할 수 있다. 일부 취약점은 인터넷 연결 메커니즘과도 관련이 있다. 스택이 도메인 이름(Domain Name System) 기록과 IPv4나 최근의 IPv6와 같은 인터넷 프로토콜 주소를 관리하는 법 등이 이에 해당한다.

TCP/IP 스택이 매우 근본적이며, 인터넷을 비롯한 다른 네트워크 연결에 포함됐기 때문에 암네시아:33 때문에 정보 호스트가 해커에게 노출돼, 기업이나 산업 네트워크 침투에 악용될 위험성이 있다. 포스카우트 연구진이 발견한 취약점 중, 최소 4개는 원격 기기 제어 장악에 악용될 수 있다.

대다수 사례에서 버그에 패치를 보급할 방법이 확실하지 않기 때문에 포스카우트는 버그의 영향을 받은 기기를 밝히지 않았다. 업계의 취약점과 관련된 인식을 제기하기 위해 미국 국토안보부의 사이버 보안 및 인프라스트럭처 보안 기관(CISA)와 CERT 협력 센터(CERT Coordination Center) 독일 연방 정보보안 당국(for Information Security), 일본 JPCERT 협력 센터(JPCERT Coordination Center) 등 세계 각지의 여러 기관이 12월 8일(현지 시각), 취약점 경고문을 공개했다.

이번 취약점 발견 과정에서 한 가지 희망적인 부분은 개인 컴퓨터나 스마트폰, 서버 등이 아닌 IoT에 설치된 기기가 특정 유형의 암네시아:33 취약점에 약하다는 것이다. 그러나 취약점 문제는 대다수 사용자와 기관이 IoT 기기 보안 취약점을 확인해도 할 수 있는 일이 거의 없으며, 보안 결함 수정을 적용하는 사례는 더더욱 적다. IT 관리자는 가능한 많은 기기를 대상으로 최대한 자주 패치를 배포해야 한다. 또한, 특정 네트워크에 연결된 기기의 범위도 알아야 하고, 트래픽 형태를 감시해 의심스러운 활동을 감지해야 한다. 그리고 네트워크를 분류해 보안이 취약해진 기기 하나가 해커에게 네트워크 전체에 접근할 기회를 주어서는 안 된다. 포스카우트는 프로젝트 메모리아(Project Memoria)를 실시해, TCP/IP 스택 취약점을 추적하고, 전 세계 협력 공개 작업을 하고 있다.

현재 암네시아:33과 같은 취약점은 해결할 준비가 된 심각한 보안 문제보다 더 고질적으로 발생하는 상황에서 다루어야 한다. 포스카우트의 콘스탄트 부사장은 “지금까지 발견된 보안 문제는 빙산의 일각에 불과하다. 패치가 되지 않은 일부 취약점을 가진 채로 살고 있다는 점을 받아들여야 한다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Critical Flaws in Millions of IoT Devices May Never Get Fixed
이 기사를 공유합니다
RECOMMENDED