보안 카메라와 DVR, 그리고 베이비 모니터까지 각종 스마트 기기에 여러 가지 취약점이 숨겨져 있다. 스마트 기기의 취약점 때문에 해커가 인터넷을 통해 라이브 영상과 오디오 스트림에 접근하고는 심지어 기기를 원격 제어할 수 있다. 더 심각한 점은 제조사 단 한 곳의 제품에만 국한된 문제가 아니다. 어느 한 소프트웨어 개발 키트(SDK)에 등장해 총 8,300만 대가 넘는 기기에 확산한 것으로 드러났다. 모두 매달 인터넷에 10억 회 이상 접속하는 것으로 파악됐다.
문제가 된 SDK는 스마트 기기와 호환 모바일 앱을 연결하는 플러그 앤 플레이 시스템을 공급하는 스루텍 칼라이(ThroughTek Kalay)이다. 칼라이 플랫폼은 기기와 앱 사이의 연결을 지원하면서 인증 기능을 다루고, 명령을 전송하면서 데이터를 이동한다. 예를 들어, 칼라이가 기본 기능을 제공해 보안 카메라와 카메라 앵글 원격 제어 앱이 호환하도록 한다. 보안 기업 맨디언트(Mandiant) 소속 연구팀은 2020년 말에 중대한 버그를 발견했으며, 8월 17일(현지 시각), 이를 국토안보부 산하 사이버인프라보안국(CISA)와 함께 공개했다.
맨디언트 총괄인 제이크 발레타(Jake Valletta)는 “칼라이를 구축할 수 있으며, 칼라이는 스마트 기기에 필요한 고정된 기능이다. 해커가 의도적으로 기기에 접속하고는 오디오와 영상을 되찾는다. 이어, 해당 오디오와 영상에 원격 API를 사용해 펌웨어 업데이트를 생성하고 카메라의 팬 각도를 변경하거나 기기를 재실행할 수 있다. 그러나 사용자는 문제를 인지하지 못한다”라고 설명했다.
결함은 기기와 호환 모바일 앱 간의 등록 메커니즘에 존재한다. 연구팀은 각각의 기기에 있는 고유 칼라이 식별 정보인 UID의 가장 기본적인 연결 중요 지점에서 결함을 발견했다. 발레타 총괄은 소셜 엔지니어링 공격이나 주어진 제조사의 취약점 웹 검색을 통해 UID를 확인할 수 있다고 말한다. 기기 UID를 확보하고, 칼라이 프로토콜을 어느 정도 아는 해커는 UID를 등록하고는 근본적으로 다음에 누군가가 공격 표적이 된 데이터에 합법적으로 접근할 때, 연결 사항을 가로챌 수 있다. 사용자는 단 몇 초간의 연결 지연을 겪지만, 사용자의 관점에서 볼 때 전반적인 연결 상태는 정상적이다.
[사진=Freepik]
그러나 해커는 특히 임의의 고유 사용자명과 패스워드 등 각각의 제조사가 기기에 설정하는 특수 기밀 정보를 손에 넣을 수 있다. 로그인에 UID를 추가해, 해커는 칼라이 플랫폼을 통해 별도의 다른 해킹이나 조작 행위 없이도 기기를 원격 제어할 수 있다. 또, 해커는 공격 대상의 네트워크에 더 깊이 접근할 시작점으로 IP 카메라와 같은 내장형 기기를 완전히 제어할 수 있다.
해커는 보안 결함을 악용해 실시간으로 영상 피드를 볼 수 있다. 또, 민감한 보안 영상을 보거나 아기의 침대에 연결된 기기에도 몰래 침투할 수도 있다. 기기 접속 차단만으로 카메라나 다른 여러 기기에 서비스 거부 공격을 개시할 수도 있다. 혹은 공격 대상으로 삼은 기기에 악성 펌웨어를 설치할 수도 있다. 게다가 공격이 기밀정보를 탈취한 다음 칼라이를 의도한 대로 이용해 내장형 기기를 원격으로 조종할 수 있으며, 피해자는 기기 제거나 재설정으로 해커를 막을 수 없다. 해커는 공격을 또다시 개시할 수 있다.
8월 17일, CISA는 경고문에 “보안 결함의 타격을 받은 스루텍 P2P 제품은 부적절한 접근 제어에 취약할 수도 있다. 해커가 (카메라 피드와 같은) 민감한 정보에 접근하거나 원격 코드 실행 작업을 수행할 수 있다...(중략)... CISA는 사용자에게 방어 조치를 시행해 취약점 악용 위험을 최소화할 것을 권장한다”라고 작성했다.
그러나 수많은 사물인터넷(IoT) 보안 취약점과 마찬가지로 버그가 존재하는 곳을 찾는 것은 결함 수정과는 매우 다른 일이다. 스루텍은 취약점 해결에 참여하기 위해 필요한 대규모 생태계의 한 부분에 불과하다. 스루텍이 결함을 완화할 옵션을 제공해도 칼라이에 의존하는 기업의 수를 알 수 없다. 또, 새로운 SDK 버전을 사용한다면, 칼라이 플랫폼 기능 실행이 필요한 제품의 수도 알 수 없다.
연구팀은 칼라이 프로토콜 상세 분석 결과나 취약점 악용 방식 관련 구체적인 정보를 공개하지 않았다. 실제로 취약점을 악용한 사례가 발생했다는 증거는 발견하지 못했으며, 해커에게 취약점 로드맵을 넘기지 않고 문제를 해결하도록 인식을 높이는 것이라고 밝혔다.
취약점 악용 문제 보호를 위해 스루텍이 2018년 말에 출시한 칼라이 버전 3.1.10이나 그 이상의 버전에서 기기를 실행해야 한다. 그러나 현재의 칼라이 SDK 버전 3.1.5는 취약점을 자동으로 수정하지 않는다. 대신, 스루텍과 맨디언트는 문제를 차단하기 위해 제조사가 암호화 커뮤니케이션 프로토콜 DTLS와 API 인증 메커니즘인 어스키(AuthKey)라는 선택 가능한 칼라이의 두 가지 기능을 실행해야 한다고 밝혔다.
스루텍 제품 보안 사건 대응팀 관계저인 첸 이칭(Yi-Ching Chen)은 “맨디언트 측이 제공한 정보 덕분에 악의적인 의도를 지닌 외부 기관이 민감 정보에 권한이 없는 접근을 시도할 수 있다는 취약점을 인지했다. 고객사에 취약점 발견 사실을 알린 뒤, 오래된 SDK를 사용하는 고객사의 기기 펌웨어 업데이트를 지원했다”라고 전했다.
다만, 첸은 고객사의 대규모 업데이트가 어려웠다고 언급했다. 맨디언트의 발견 사실을 토대로 관찰한 결과이다. 취약점을 악용한 공격을 멈추게 할 옵션을 포함한 SDK 버전 배포 이후 3년이 지났으나 맨디언트 연구팀은 여전히 취약한 기기 사용자 수가 많다는 사실을 우연히 발견했다.
첸은 “스루텍은 지난 3년간 고객사에 SDK 업그레이드 안내를 했다. 일부 오래된 기기는 자동 무선 업데이트(OTA) 기능이 없어 업그레이드가 불가능하다. 게다가 일부 고객사는 연결 설치 속도를 늦춘다는 점 때문에 DTLS를 원하지 않는다. 이 때문에 업그레이드를 주저한다”라고 말했다.
발레타 총괄은 2018년 말에 배포된 스루텍의 SDK 버전이 고객사에 업데이트의 중요성과 DTLS와 어스키 실행 중요성을 설명하는 정보를 제대로 전달하지 않았다고 지적한다. 스루텍은 최근, 맨디언트 연구팀의 더 강력한 연구에 따른 대응으로 경고를 발행했다.
발레타 총괄은 “상당수 고객사의 신속한 문제 해결에 충분하지 않다. 따라서 업데이트를 선택 사항으로 둔다면, 많은 고객사가 업데이트를 우선시하지 않을 것으로 예측한다. 중대한 취약점 완화라는 사실을 깨닫지 못했기 때문이다”라고 설명했다.
최근, 나조미 네트웍스(Nazomi Networks) 소속 연구팀도 칼라이의 또 다른 취약점을 공개했다. 나조미 네트웍스가 발견한 문제도 라이브 오디오와 영상 피드 접근이 발생할 수 있는 문제이다. 연구팀은 지난 몇 년간 칼라이 플랫폼과 같이 부품을 사전 생산하고, 현장에서 조립만 하는 방식을 택한 IoT 플랫폼의 잠재적인 보안 영향을 조사했다.
이미 가정이나 기업에 취약점을 지닌 기기를 두었을 수도 있는 일반 사용자에게는 취약점을 제거해야 할 결함의 영향을 받은 기기의 전체 목록이 없다. 가능할 때마다 내장형 기기에 접근할 수 있는 소프트웨어를 설치할 수 있다. 발레타 총괄은 8월 17일 취약점 공개가 문제 인식을 제기하고는 더 많은 공급사가 자사 제품에 칼라이 업데이트를 진행할 것으로 기대한다. 그러나 현실적으로 보안에 큰돈을 투자할 여유가 없는 소기업이 생산한 제품이나 다른 기업이 리브랜드하고 브랜드 이름을 부주의하게 적용한 제품을 구매한 고객이 소유한 기기의 문제는 절대 해결되지 않을 것이라고 내다보았다.
발레타 총괄은 “결국에는 희망이 있을 것이라고 생각한다. 그러나 모두가 패치 작업을 할 것이라고 선뜻 말하기는 망설여진다. 지난 몇 년간 칼라이 취약점을 보완하기 위한 작업을 해왔다. 또, 수많은 패턴과 각종 버그가 반복되는 것도 지켜보았다. IoT 보안은 여전히 더 많은 노력이 이루어져야 할 문제이다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202108/3347_4429_5352.jpg)
뉴스레터 신청