대부분 위험도 낮은 심각성, 그러나 간과해선 안 돼
[보안뉴스 문가용] 커피머신이 해킹의 경로가 될 거라고 불안에 떨며 커피를 내리는 사람은 없을 것이다. 옛날 커피머신이야 안 그런 게 당연하지만, 요즘처럼 모든 사물들이 인터넷에 연결된다는 때에는 슬슬 불안해해야 할 것이다. 특히나 모바일 앱까지 같이 딸려오는 것들은 말이다.
이 아무 때고 어디서나 사용자가 원한다면 커피를 끓이기 시작한다는 모바일 앱 지원 커피머신들은 스마트폰과 정보를 교환하는 데에 있어 치명적인 오류들을 가지고 있는 게 대부분이라는 사실이 드러났다. 특히 최초 환경설정을 하는 때에 해커가 암호를 쉽게 탈취할 수 있다는 사실을 카스퍼스키가 최근 발표했다.
게다가 커피머신만이 이런 문제를 안고 있는 가전기기가 아니었다. 이번에 카스퍼스키가 조사한 커피머신 포함 네 가지 사물인터넷 기기 모두에서 다양한 심각성을 가진 취약점이 나온 것이다. 물론 사물인터넷 근간을 뒤흔들 정도의 취약점들은 아니었으며 어떤 것들은 특정 조건 아래서만 익스플로잇이 가능했다. 일례로 커피머신의 경우 사용자가 초기 환경설정을 하는 정확한 시간에 맞추어야만 공격이 가능하다.
그렇다 하더라도 취약점이 거기에 존재한다는 건 변하지 않는 사실이다. 그리고 이런 취약점들은 사물인터넷 시대가 본격적으로 우리 생활에 안착하기 전에 해결을 해야 할 문제임도 분명하다. “지금 당장 커피머신들이 위험하다는 게 저희 연구 결과가 말해주는 바가 아닙니다. 아주 사소하고 일상적인 기기들에도 분명히 취약점들이 있다는 게 생각할 바죠.” 카스퍼스키의 연구원인 빅터 알리유신(Victor Alyushin)과 블라디미르 크릴러브(Vladimir Krylov)의 말이다.
이번에 카스퍼스키가 뜯고 해부한 사물인터넷 기기들은 구글의 크롬캐스트(Chromecast) 비디오 스트리밍 USB 동글과 스마트폰으로 조작이 가능한 IP 카메라, 마찬가지로 스마트폰으로 조정이 가능한 가정용 보안 시스템, 그리고 스마트 커피머신이었다.
크롬캐스트의 경우 이전에도 여러 연구원들을 통해 물리적으로 가까이에만 있으면 얼마든지 익스플로잇이 가능하다는 사실이 밝혀진 바 있는데, 이번에 카스퍼스키는 기존 연구보다 훨씬 먼 거리에서도 공격을 성공시켰다. 공격방법은 그리 어렵지 않았다고 한다. “크롬캐스트에 네트워크로부터 연결을 해제하라는 요청을 무수히 많이 전송했습니다. 그렇게 해서 연결이 해제되면 크롬캐스트가 자동으로 다시 연결을 시도하거든요. 그런데 그때 크롬캐스트는 스마트폰이나 태블릿과 연결된 자가 와이파이 네트워크를 이용합니다. 해커는 그 시도를 중간에서 가로채고, 그러면 네트워크에 가짜 기기를 연결시킬 수 있게 되는 것이죠.”
이 공격은 여태껏 가까이에 있는 사라만이 성공시킬 수 있는 공격이라고 여겨졌다. 하지만 카스퍼스키는 그보다 훨씬 멀리서도 공격을 가할 수 있는 방법을 찾아냈다. 보통의 와이파이 안테나를 사용하면 됐다. “리눅스 환경에서 침투 테스트를 할 때 자주 사용하는 기구죠. 아무데서나 구할 수 있는, 심지어 저렴하기도 한 제품입니다.”
스마트폰으로 조작이 가능한 IP 카메라의 경우, 세 가지 오류가 발견되었다. 다행히 지금은 전부 해결이 된 상태다. 한 가지 오류를 익스플로잇 할 경우 해커가 통제권을 전부 뺏어오는 게 가능했는데, 이는 스마트폰앱과 카메라 사이의 통신을 가로채는 방법으로 실현할 수 있었다. 또 다른 오류는 공격자에게 루트 단계의 접근 권한을 제공하는 것으로, 이 공격이 성공하면 해커가 펌웨어마저 바꿔치는 게 가능했다.
비슷한 오류가 가정 보안 시스템에서도 발견되었다. 문과 창문이 잠겼는지 확인해주는 센서에서 발견된 취약점 때문이었다. 이 취약점을 활용하면 공격자가 자석을 활용해 간단히 센서를 무력화시킬 수 있게 된다고 한다.
중요한 건 모바일앱과 연동이 되는 가전기기 거의 전부가 보안 구멍을 가지고 있다는 사실이다. “그나마 다행인 건 그 취약점들이 아직까지 ‘대단히 위험’한 수준은 아니라는 겁니다. 그러나 그 심각도가 비교적 낮다고 해서 공격의 경로가 되지 말라는 법은 없습니다. 공격자들은 어떤 취약점도 마다하지 않습니다. 낮은 심각성의 취약점이 적은 피해를 입히는 것도 아니고요. 또한 낮은 취약점을 여러 개 익스플로잇하면 공격 성공률이 높아지기 마련입니다. 그렇기 때문에 취약점이란 취약점은 지금부터 전부 다 고쳐두는 게 좋습니다. 이런 게 쌓이고 쌓여서 사물인터넷 시대가 시작된다면, 그건 저희가 재앙을 자초하는 꼴이 된 거겠죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>