안녕하세요. 보안클라우드 입니다.

​

오늘은 우리의 일상생활과 산업 전반에 걸쳐 빠르게 확산되고 있는 기술인 사물인터넷(IoT)에 대해 이야기하며 현재 어떤 IoT 보안의 주요 이슈와 해결 방안을 살펴보고, 안전한 IoT 환경을 구축하는 방법에 대해 이야기해 보려 합니다.

사물인터넷(IoT, Internet of Things)이란?

인터넷에 연결된 다양한 기기들이

데이터를 주고받으며 상호작용하는 네트워크

스마트 홈 기기부터 헬스케어 디바이스, 산업 자동화 장비에 이르기까지, IoT 기술은 우리의 생활을 더욱 편리하고 효율적으로 만들어 주고 있습니다. 예를 들어, 스마트 온도 조절기나 스마트 조명 시스템은 에너지를 절약하고 생활을 편리하게 만들어줍니다. 스마트 워치와 같은 헬스케어 기기는 건강 상태를 실시간으로 모니터링하고 관리할 수 있도록 도와줍니다. 이러한 IoT 기기의 보급은 계속해서 증하고 있으며, 그 잠재력은 무궁무진할 것입니다.

​

보안의 중요성

그러나, IoT 기기의 급속한 증가와 함께 보안 문제도 증가하고 있습니다. 많은 IoT 기기가 기본적인 보안 조치 없이 출시되고 있으며, 이는 심각한 보안 위협이 발생할 수 있습니다. 공격자들은 이러한 취약점을 악용하여 개인 정보 유출, DoS, 물리적 위협 등 다양한 문제를 일으킬 수 있습니다. 예를 들어, 공격자가 스마트 홈 기기를 제어하게 되면 가정의 보안이 위협받을 수 있으며, 산업용 IoT 기기가 해킹되면 생산 공정에 큰 혼란을 초래할 수 있습니다. 따라서, IoT 보안은 단순히 기술적 문제를 넘어 우리의 일상과 사회 전반에 걸쳐 중요한 과제로 부각되고 있습니다.

​

다음 그림에서는 OWASP 제단에서 OWASP IoT Top 10을 2018년 발표하여 IoT 환경에서 가장 중요한 보안 취약점을 식별하고 이에 대한 보안 권고사항을 제공하였습니다. 이 목록은 IoT 기기의 보안을 강화하는데 중요한 가이드라인을 제공합니다.

출처 : OWASP

IoT 보안의 주요 문제점

기기 취약점

일반적으로 제조업체에서는 장치를 빠르게 시장에 출시하기 위해 보안보다는 기능 및 사용성에 중점을 두기 때문에 보안 취약점이 있는 상태로 출시되고 있습니다. 대부분의 IoT 사용자들은 제조사에서 제공한 접속 가능한 계정의 패스워드를 출고 당시 패스워드 그대로 사용하거나, 안전하지 않은 패스워드를 사용하는 등 패스워드 설정 미흡으로 위협이 발생합니다. 또한 알려진 취약점으로 인한 악성코드 감염, 정보 유출 등을 방지하기 위해 제조사에서 배포한 최신 버전 펌웨어를 적용하지 않아 문제가 지속적으로 발생하고 있습니다.

​

데이터 암호화

IoT 기기에서는 많은 데이터를 송수신하지만, 항상 제대로 보호하지는 못합니다. 데이터 송수신 과정에서 암호화를 사용하지 않거나, 취약한 암호 방식을 사용할 경우 데이터가 유출될 수 있습니다. 특히 사용자의 개인 정보를 다루는 스마트 홈 기기, 헬스케어 디바이스 등의 경우엔 데이터 유출 시 심각한 개인정보 침해가 발생합니다.

​

네트워크 보안

IoT 기기들은 네트워크에 연결되어 작동합니다. 하지만 대다수의 경우, 이러한 네트워크는 충분히 보호되지 않은 상태로 운영되고 있습니다. 네트워크 보안이 취약할 경우, 공격자들은 네트워크에 침입하여 IoT 기기를 통해 추가적인 공격을 감행할 수 있습니다. 예를 들어 안전하지 않은 프로토콜을 이용하여 통신을 한다면 인증 우회, 네트워크 접근 등을 손쉽게 이루어 낼 수 있을 것입니다.

IoT 보안 위협 사례

Dyn DDoS 공격

2016년, Mirai 봇넷은 전 세계적으로 큰 피해를 입혔습니다. DNS 서비스 제공 업체인 Dyn은 Mirai 봇넷에 감염된 IoT 기기들로부터 대규모 DDoS 공격을 받았습니다. 이로 인해 Dyn이 맡고 있는 1200여 개가 넘는 사이트가 일제히 마비되었습니다. 이 봇넷은 보안 카메라 등 보안이 허술한 IoT 기기에 악성코드를 설치하고 인터넷 트래픽을 라우팅하는 Dyn 서버를 공격하는 방식으로 이루어지며 당시 사용되었던 IoT 기기가 5만~10만대로 추측되어 IoT 보안의 중요성이 부각되었습니다.

​

아마존 Ring 해킹

2019년, 아마존의 Ring 회사에서 판매하는 보안카메라가 해킹되는 사고가 발생하였습니다. 해당 제품은 가정에 설치하여 내부를 촬영하는 제품으로 카메라, 모션센서, 마이크, 스피커가 탑재되어 있습니다. 공격자는 사용자들이 기본 제공된 비밀번호를 변경하지 않고 사용하는 점과 다중 인증을 활성화하지 않은 점을 이용하여 보안카메라를 해킹하였습니다. 그 결과 마이크와 스피커가 탑재되어 있는 점을 활용하여 어린아이들에게 위협적인 말과 인종차별적 대화를 나눴던 것으로 알려져있습니다. 해당 사건으로 Ring사는 보안 정책을 강화하기 위해 제품 이용 시 필수적으로 다중 인증을 의무화하도록 조치를 취했습니다.

​

스마트 홈 기기 해킹

스마트 홈 기기 해킹 사례도 꾸준히 발생되고 있습니다. 스마트 CCTV, 스마트 인터폰 등이 해킹되어 사생활이 노출되는 사건이 발생한 사례가 있습니다. 한국에서 발생한 가장 대표적인 스마트 홈 기기 해킹 사건이 2021년 발생했던 월패드 사건입니다.

제3의 동거인, 나는 해커와 함께산다. 월패드 해킹

​

IoT 보안 전략

강력한 인증 및 암호화

IoT 기기와 데이터 통신에 강력한 인증 및 암호화를 적용해야 합니다. 암호화 통신을 제공하는 SSL/TLS 프로토콜을 사용하여 데이터를 암호화하거나, 다중 인증(MFA) 시스템을 도입하여 사용자 인증을 강화할 수 있습니다.

​

펌웨어 업데이트

IoT 기기는 정기적으로 펌웨어 업데이트를 해야 합니다. 제조사들은 최신 보안 패치를 제공하고, 사용자들은 이를 다운받아 업데이트하거나, 자동 업데이트 기능을 설정하여 항상 최신 보안 상태를 유지해야 합니다.

​

네트워크 보안 강화

네트워크 보안을 강화하기 위해 네트워크 세분화(VLAN 사용), 방화벽 설정, 침입 탐지 시스템(IDS)와 같은 보안 장비를 도입하여 인가된 사용자만 네트워크에 접근을 허용하고 비인가자에 의한 보안 위협에 대응할 수 있도록 합니다.

​

기기 관리

IoT 기기 사용 시 출고 당시 기본 패스워드가 아닌 추측이 불가능한 패스워드를 사용자가 직접 설정하여 공격자의 접근을 방지해야 합니다. 또한 외부에 설치되는 CCTV, 신호등 등과 같은 기기에 물리적인 접근을 방지할 수 있도록 조치를 취해야 합니다.

IoT 기기는 인공지능과 머신러닝과 같은 기술을 접목시켜 계속해서 발전되고 있는 기술입니다. 기술이 발전하는 만큼 IoT 보안의 중요성은 재차 강조해도 지나치지 않을 것입니다. 개인과 기업 모두 IoT 기기의 보안에 지속적인 관심을 가져야 하며, 최신 보안 기술과 방안을 적극 도입하여 IoT 보안을 더욱 견고하게 만들어야 합니다.