시만텍 '스마트홈 기기 보안, 너무 허술하다'

[IT동아 이상우 기자] 최근 사물인터넷(IoT) 시장이 급성장하고 있는 가운데, 시만텍(www.symantec.co.kr)이 50가지의 스마트홈 기기를 분석한 결과, 대부분의 스마트홈 기기에서 취약한 인증 및 웹 취약점 등 기본적인 보안 문제가 발견돼 보안 강화가 시급하다고 강조했다.

가트너에 따르면 2015년 IoT 기반 스마트홈 기기의 수는 29억대에 달할 것으로 전망되는 등 IoT 시장이 급성장하며 스마트홈 환경이 빠르게 확산되고 있다. 하지만 시만텍의 조사 결과 IoT 기기의 보안은 여전히 미흡하며 사용자들이 다양한 보안 위협에 노출된 것으로 나타났다.

시만텍은 온도 조절 장치, 잠금 장치(도어록), 전구, 연기 감지기, 에너지 관리 기기, 허브 등 50가지 스마트홈 기기의 보안 상태를 분석했다. 이번 조사 결과는 보안 경보기, IP기반 감시 카메라, 엔터테인먼트 시스템, 무선 공유기, NAS(Network Attached Storage) 등에도 동일하게 적용될 수 있다.

조사 결과, IoT 기기를 제어하는 모바일 애플리케이션의 약 20%가 암호화 통신(SSL)을 사용하지 않고 있었다. 또한, 대부분의 스마트홈 기기와 서비스에서 취약한 인증, 웹 취약점, 로컬 공격, 잠재적인 공격 가능성 등 기본적인 보안 문제가 발견됐다.

취약한 인증

이번 조사에서 50가지의 기기 중 상호 인증을 사용하거나 강력한 비밀번호를 설정한 기기는 단 한 대도 없었다. 심지어 클라우드 인터페이스에서 단순한 4자리 숫자 PIN 코드로만 인증할 수 있게 제한돼 사용자가 강력한 비밀번호를 설정할 수 없는 경우도 있었다. 이러한 상황에서 이중 인증(Two-factor Authentication)을 지원하지 않고, 비밀번호 무차별 대입 공격(Brute-force Attack)을 차단하는 방어 수단이 없다면 공격의 표적이 되기 쉽다.

웹 취약점

많은 스마트홈 웹 인터페이스에서 널리 알려진 웹 애플리케이션 취약점이 발견됐다. 15개 IoT 클라우드 인터페이스를 대상으로 실시한 간단한 테스트에서도 심각한 취약점들이 드러났으며, 이 밖에도 경로 조작(path traversal), 파일 무제한 업로딩(원격 코드 실행), 원격 파일 삽입(RFI) 및 SQL 삽입과 관련한 10개의 취약점이 발견됐다. 스마트 전구뿐만 아니라 스마트 도어록에서도 이와 같은 취약점이 발견돼, 시만텍 분석팀은 원격에서 현관문을 열 수 있었다.

로컬 공격

공격자가 인증 기능이 취약한 와이파이 네트워크 등을 통해 홈 네트워크에 침입할 경우 추가적인 공격 루트를 마음대로 사용할 수 있다. 이번 조사에서 비밀번호를 암호화하지 않고 전송하거나 인증을 전혀 사용하지 않는 IoT 기기도 발견됐다. 인증되지 않은 펌웨어 업데이트가 사용되는 경우도 많았다. 공격자는 이러한 보안 결함을 이용해 홈 네트워크에 잠입, IoT 기기의 비밀번호를 알아낼 수 있다. 이렇게 탈취한 개인 정보는 다른 명령어를 실행하는데 사용될 수 있고, 악성 펌웨어 업데이트를 통해 공격자가 기기를 완전히 장악할 수 있다.

잠재적인 공격 가능성

현재까지 라우터, NAS 등 같은 컴퓨터 관련 기기가 아닌 스마트홈 기기 대상의 광범위한 멀웨어 공격은 발견되지 않았다. 아직 대다수의 IoT 공격은 개념 검증 단계에 있으며, 공격자에게 수익을 주는 구조는 아니다. 하지만 IoT 기술이 점차 대중화되고 있는 가운데 공격자는 사용자를 협박하거나 홈 네트워크에 은신하는 등 표적을 공격하기 위한 새로운 방식을 고안할 것이다.

안전한 스마트홈 기기 활용을 위한 권고 수칙

시만텍은 보안 선두 기업으로서 스마트홈/IoT 기기 제조업체가 안전한제품을 생산할 수 있도록 지원한다. 시만텍은 스마트홈 기기를 겨냥한 보안 위협에 대비하기 위해 사용자와 제조사가 각각 다음과 같은 보안 수칙을 준수할 것을 권고한다. 한편, 이번 시만텍 조사의 자세한 결과는 시만텍 백서(http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/insecurity- in-the-internet-of-things.pdf)를 통해 확인할 수 있다.

<개인 사용자>
- IoT 기기의 계정과 와이파이 네트워크에 강력하고 복잡한 비밀번호 사용
-기본 설정된 패스워드 변경
-와이파이 네트워크 설정 시, WPA2와 같은 강력한 암호화 방식 사용
-필요 없는 경우 IoT 기기에 대한 원격 접속 해제 혹은 방지
-가능한 경우 무선 대신 유선 연결 사용
-중고 IoT 기기는 조작되었을 가능성이 있기 때문에 신중하게 구매
-공급업체의 기기 보안 정책 확인
-개인의 필요에 따른 프라이버시와 보안 설정 변경
-필요 없는 기능 해제
-업데이트의 생활화
-전파 방해나 네트워크 다운 등으로 인한 장애 발생 시 업데이트 설치가 불안한 상태가 되지 않도록 확인
-스마트 홈 기기 구입 전 스마트 기능의 필요성 확인

<스마트홈/IoT 기기 제조업체>
-SSL을 통한 기기 인증과 같은 강력한 IoT 신뢰 모델
-디지털 코드 서명과 같은 IoT 운영 코드 보호
-엔드포인트 보호 및 시스템 보안 강화와 같은 호스트 기반의 효과적인 IoT 보안
-환경 설정 및 무선 업데이트와 같은 안전하고 효율적인 IoT 관리
-이상 행위 탐지와 같은 새로운 지능형 보안 위협에 대처하는 보안 애널리틱스

글 / IT동아 이상우(lswoo@itdonga.com)