광고
광고
로고

사물인터넷(IoT)의 보안과 공격 유형 분석

영화 “분노의 질주 더 익스트림”의 자동차 해킹장면을 보며

장희돈 칼럼리스트 | 기사입력 2017/05/09 [18:01]

사물인터넷(IoT)의 보안과 공격 유형 분석

영화 “분노의 질주 더 익스트림”의 자동차 해킹장면을 보며

장희돈 칼럼리스트 | 입력 : 2017/05/09 [18:01]

최근에 개봉한 영화 “분노의 질주 더 익스트림”이 높은 인기를 보이고 있는 가운데 극중 자동차 액션신에서 자동차 해킹과 관련된 내용을 인상적으로 설명하고 있다. 테블릿PC 하나로 수백대 자동차를 원격 조정해 순식간에 무기로 바꿔버린다.

▲ [코리안투데이]  영화 "분노의 질주 더 익스트림" 포스터


이번 분노의 질주 더 익스트림에서 보여준 해킹과 관련된 문제는 갈수록 완성차의 부품에 전자 장비들이 많아짐에 따라 이런 문제들이 더 크게 부각되며 눈길을 끌고 있다. 더욱이 전기차를 앞세워 새로운 방향성으로 진화하고 있는 자동차이기에 보안이 더욱 중요시되고 있는 상황이다.


▲ [코리안투데이]  영화 내용 중에  해커가 수백대 자동차를 무단 탈취, 무기로 활용하는 장면



특히 자동차 업계에선 편리한 이동수단이 살인무기로 돌변 할 수 있다는 점에서 더 큰 관심을 보이고 있는 눈치다. 이는 기존의 독립적인 존재였던 자동차에 IoT기술을 통해 외부에서의 접속해 컨트롤이 가능해졌기 때문이다. 과거 꿈의 기술이었던 IoT기술이 다방면에 접목되면서 편리한 환경을 만들어주고 있는 현 시점에서 간과해서는 안되는 부분이 보안이다. 이미 관련 업계에선 해킹을 방지하기 위한 보안문제들이 제기되고 있다.


▲ [코리안투데이]  해커가 할수 있는 자동차 공격 예시



따라서 사물인터넷 보안에 대해 좀더 살펴보기로 하자

근거리 네트워킹 기술인 이너넷(Ethernet) 발명자이자 네트워크 장비제조사였던 3Com 설립자였던 로버트 메칼프(Robert Metcalfe)는 어떤 네트워크의 유용성 또는 실용성은 사용자 수의 제곱과 같다는 메칼프의 법칙(Metcalfe's Law)을 주장한다. 이는 사물인터넷 시대에 더 많은 사물들이 연결되면 연결될수록 우리들의 일상생활은 더욱 편해지고 사물인터넷의 가치는 그만큼 커질 것임을 의미한다. 그러나 다양한 사물들의 연결은 동시에 잠재적인 보안 및 프라이버시의 우려를 야기하기도 한다. 사물들을 연결하고 사물들이 생성해낸 데이터를 처리하는 요소기술들을 자체의 보안 취약성뿐만 아니라, 연동과정에서 새로운 보안 취약성이 발생 할 수 있기 때문이다. 따라서, 이번에는 사물인터넷에서 발생할 수 있는 다양한 보안 이슈 및 프라이버시 이슈에 대해 살펴보도록 할 것이다.


프랑스 사물인터넷 업체인 센스(Sense)가 판매하고 있는 ‘마더(Mother)'는 ‘모션 쿠키(Motion Cookies)’라는 다양한 센서 장치를 이용해 실내온도, 사용자의 움직임, 문열림 등과 같은 정보를 실시간으로 수집할 수 있는 장치다. 이러한 데이터를 활용하면 약을 먹어야 할 시간을 알려주거나 원격에서 집안의 상태를 확인할 수 있는 보안 서비스 등 다양한 생활편리 서비스를 만들 수가 있다.
문제는 이 장치들이 수집하는 정보가 아무런 암호화 과정없이 수집된다는 것이다. 만약, 악의적인 사용자에 의해 센서 데이터가 수집된다면, 개인의 프라이버시 문제뿐만아니라 심각한 보안사고까지 발생할 수 있다. 사용자의 행동패턴과 관련된 데이터를 바탕으로 언제 집이 비어 있는지를 손쉽게 알 수 있기 때문이다.


▲  [코리안투데이]  프랑스 사물인터넷 업체인 Sense의 'mother'  작동 화면



이처럼, 사물인터넷 시대의 보안 및 프라이버시 이슈는 다양한 사물들을 다앵한 요소기술을 이용하여 연결하는 과정에서 발생한다. 사물인터넷이 정보통신기술(ICT)의 적용 대상을 단순히 사람뿐만 아닌 다양한 사물과 물리적인 공간, 그리고 가상의 시스템까지 확대되면서 사이버 공간에서의 해킹은 그대로 물리적인 공간의 위험으로 전이될 수 있는 것이다. 사물인터넷은 센싱기술, 통신 및 네트워킹 기술, OS 및 임베디드 시스템 기술, 플랫폼기술, 웹 및 응용서비스 기술 등 다양한 요소기술들이 통합되어 서비스를 구성한다. 따라서, 각 요소기술 자체의 보안 취약성과 이러한 요소기술들을 연동하는 과정에서 보안 취약성이 발생할 수 있다.
개별 요소기술 관점에서 살펴보면, 디바이스나 OS기술, 통신 및 네트워킹 기술, 웹 및 응용 서비스 기술 등에서는 기밀성, 무결성, 인증, 접근제어, 해킹방지, 이상동작(anomaly) 탐지 및 대응 등의 보안 기술이 개발되어 있다. 또한, 빅데이터나 데이터마이닝 기술 분야에서는 프라이버시 보호를 위한 기술을 중심으로 연구되고 있다.
강력한 보안체계를 갖추기에 사물인터넷 디바이스는 제안적인 요소가 많다. 디바이스의 물리적 크기가 작기 때문에, 충분한 배터리나 높은 컴퓨팅 파워 등을 이용할 수 없는 경우가 많다.
데이터의 전송과 관련한 경량 암호 알고리즘의 부재도 문제이며, 매시업 보안 기술의 부재로 인한 프라이버시 보호도 쉽지 않은 사정이다. 설령 강력한 보안체계를 갖출 수 있다 하더라도 가격적인 측면에서의 이득은 사라질 것이다.


▲ [코리안투데이]  개인프라이버시관련 사물인터넷(IoT)기반 스마트홈기기 보안 시급 


더 큰 문제는 아직까지 요소기술들을 연동하는 과정에 대한 보안 및 프라이버시 관련 이슈들이 제대로 규명되거나 연구되고 있지 못한다는 것이다. 즉, 센서 디바이스 공급자, 통신/네트워크 공급자, 플랫폼 공급자 서비스 개발자 등 다양한 주체가 존재하기 때문에 처음부터 끝까지 일관된 방식으로 보안 및 프라이버시를 보장하는 것이 어려워지는 것이다. 또한 사물인터넷 서비스가 기존의 응용서비스와는 달리 다양한 서비스 주체가 공존하는 수평적 시장(horizontal market)의 특성을 가지기 때문에 문제의 해결이 매우 어렵다. 기존의 수직적 시장(Vertical market)환경에서는 단일 기업이 해당 응용 서비스에 대한 보안 취약성 및 프라이버시 침해 문제에 대한 관리 및 대응을 할 수 있었으나, 수평적 시장 환경에서는 특정 기업이 보안 및 프라이버시 이슈에 적극적으로 대응을 한다 할지라고 그렇지 않은 기업에 의해 보안 및 프라이버시 사고가 발생할 수 있다.
기술적인 이슈 외에도 프라이버시 보호를 위한 범위 및 대상도 명확히 규정되지 않은 것도 문제다. 예를 들면, 우리나라의 ‘개인정보보호법’이나 미국의 ‘소비자보호/데이터 보호법안 (Consumer Protection/Data Protection Act)'에서는 사물인터넷 환경에 적용할 수 있는 구체적인 프라이버시 보호 체계가 정의되어 있지 않다.


그러면 사물인터넷의 보안 공격 유형은 무엇일까?

사물인터넷 보안 위협 요인에는 서버와 장치에 대한 불법 접근을 통한 가용성 침해, 정보의 조작 및 탈취를 위한 기밀성/무결성 공격과 프라이버시 침해가 대표적이라 할 수 있다. 사물인터넷의 구성 요소별 주요 보안 위협 요인은 다음과 같다.

구성요소

보안 위협

서비스

데이터 위⦁변조, 데이터의 기밀성/무결성, 프라이버시 침해, 비인가된 어플리케이션 및 사용자의 접근

네트워크

데이터 위⦁변조, 인증 방해, 신호 데이터의 기밀성/무결성 침해, 정보유출, 서비스 거부(DoS)

장치 / 센서

장치의 기밀성/무결성 침해, 비인가 접근, 복제 공격



사물인터넷 보안 공격은 다양한 형태로 나타날 수 있으며, 대표적인 유형은 비인가 접근, 정보 유출, 데이터 위⦁변조, 프라이버시 침해, 서비스 거부(DoS) 등과 같다.

⓵ 비인가 접근
특정한 장치나 자원, 서비스에 권한이 없는 공격자는 다양한 형태의 보안 위협을 가하기 위해 비인가된 접근을 시도한 후 그것들을 조작하거나 물리적인 손상을 입히게 할 수 있다. 특히 원격으로 제어되는 기기들의 경우 이러한 위협에 더 많이 노출 될 수 있다. 비인가 접근을 막기 위해서는 RBAC(Role-Based Access Control)이나 ABAC(Attribute-Based Access Control) 등과 같은 접근 제어 기법을 사용할 수 있다.

⓶ 정보유출
사물인터넷 서비스환경에서의 정보유출은 기존 정보통신 서비스 환경에서 이루어졌던 정보유출과 거의 동일한 형태로 나타날 수 있다. 즉, 유⦁무선 통신 구간에‘서의 도청, 스니핑(Sniffing), 비인가 접근에 의한 유출 등이 해당한다. 만약, 이러한 위협으로 인해 발생된 정보가 개인정보에 해당된다면, 이는 곧바로 프라이버시 침해로 이어질 수 있는 위험이 존재한다.

⓷ 데이터 위⦁변조
악의적인 공격자는 인가되지 않은 장치나 센서를 마치 정상적으로 인가된 정당한 장치나 센서인 것처럼 가장하여 데이터를 잔송하거나 가로채어 위조 도는 변조할 수 있다.
이렇게 위⦁변조된 데이터는 다시 정상적인 데이터인 것처럼 전송되어 잘못된 인증이 이루어지거나 서비스의 결과에 영향을 미치게 된다.

④ 프라이버시 침해
사물인터넷 서비스는 사람과 사람을 둘러싸고 있는 다양한 대상들 사이의 정보교환 및 이의 활용을 기반으로 한다. 따라서, 이름이나 전화번호, 신용카드 번호, 이메일 주소와 같은 개인정보들뿐만 아니라, 혈압이나 혈당량과 같은 생체정보는 물론 이동 결로 및 체류 시간, 가정의 전력 소모 패턴 등도 개인의 건강상태나 활동에 대한 직⦁간접적인 정보를 제공할 수 있다. 따라서, 프라이버시 침해를 막기 위해서는 사물을 다른 사물과 구별하고 식별하기 위한 식별자(Identifier)에 의한 철저한 관리가 필요하게 된다.

⑤ 서비스 거부(DoS)
사람 또는 사물에 부착된 센서나 소형 장치들은 사물인터넷 서비스 제공을 위해 게이트웨이를 통해 수시로 연결 요청을 하게 된다. 악의적인 공격자는 대량의 접속 신호를 한꺼번에 발생시킴으로써 센서나 소령 장치의 요청을 처리하는데 필요한 자원응 소모시키거나 이들과 관련된 서비스가 생상되고 제공되는 것을 마비시키거나 지연시킬 수 있다.


 ▲ [코리안투데이] 장희돈 칼럼리스트 주요 약력
  • 도배방지 이미지

많이 본 기사