아무도 몰랐던 커피머신의 연결성 - 보안 구멍의 시작
[보안뉴스 문가용] 약 한 달 전, 본지에서는 IoT 시대의 경고등이 울렸다는 메시지를 전하며 커피포트도 해킹 경로로서 사용이 가능하다는 기사를 보도한 바 있다. 그런데 그런 일이 실제로 발생했다는 소식이 현재 개발자들의 포럼인 깃허브(GitHub)를 들썩이게 하고 있다.
해당 소식의 주인공은 니하드 아바소프(Nihad Abbasov). 나르코즈(Narkoz)라는 이름으로 깃허브에서 활동하고 있는 개발자로 최근 자신의 동료가 남몰래 개발해 사용하고 있다는 코드를 깃허브에 공유했는데, 이 코드가 너무 재미있어서 영국 비즈니스 인사이더(Business Insider)라는 매체에도 소개가 되었을 정도. 다음은 비즈니스 인사이더에 있는 내용을 일부 번역, 인용한 것이다.
비즈니스 인사이더에 의하면 나르코즈는 해당 코드의 개발자를 “뭐든 90초 이상 애써야 하는 일은 어지간해선 스크립트를 만들어 자동으로 처리하려던 사람”이라고 표현했으며 이번에 공개된 코드는 그 개발자의 성향을 그대로 반영하고 있다고 한다. 업무는 물론 사생활과 관련된 일들, 커피 만드는 것까지 모두 ‘자동화’로 처리했던 것.
이 게으르거나 기발한 개발자는 9시 이후에 집에 들어갈 경우 여러 가지 이유들 중 하나를 무작위로 뽑아 그 이유로 늦는다는 문자 메시지를 아내에게 자동으로 발송하는 스크립트를 만들었으며, 고객에게 이메일이 왔을 때 이메일 내용을 미리 보고 도움(help), 문제(trouble), 죄송(sorry)이라는 단어가 있을 경우 데이터베이스를 자동으로 최신 시점으로 복구해줌과 동시에 “걱정하지 마세요. 다음엔 조금 더 신경 써 주시고요”라는 답장까지 발송해주는 스크립트도 제작해 사용했다.
게다가 아침 8시 45분까지 회사 서버에 로그인하지 않을 경우 회사에 “몸이 좋지 않아 집에서 일 하겠습니다”라는 내용의 메일을 자동으로 발송하는 스크립트도 있었다. 해당 스크립트의 이름은 ‘숙취(hangover)’였다.
심지어 아무도 몰래 회사에 있는 커피머신도 해킹해서 사용했다. 다만 이 경우 나쁜 목적을 가진 것이 아니라 커피 내리는 시간을 기다리기 싫어서였다. 이 커피머신용 스크립트는 17초를 기다렸다가 커피머신으로 침투해 라떼를 완성시켜놓고, 24초 후 컵에 따르도록 만드는 것으로 17초와 24초는 이 개발자가 자기 책상에서 커피머신까지 걸어가는 시간이었다. 즉 스크립트를 책상에서 작동시키고 걸어가면 라떼 한 잔이 딱 완성되게끔 해놓은 것.
여기서 보안담당자들이 주목해야 할 것은 이 회사 사람들 중 그 누구도 커피머신이 네트워크에 연결되어 있고, 해킹을 할 수도 있다는 사실을 몰랐다는 것이다.
정복 전쟁이 한창이던 때, 나라가 하루아침에 섰다가 역시 하루아침에 무너졌기 때문에 보통의 제국들은 개국일과 망국일이 연월일 단위로 기록이 남아있는 것과 달리 로마제국은 오직 AD 476년에 문을 닫았다는 것 외에는 몇 월이었으며 며칠이었는지 기록되지 않았다고 한다. 그 커다란 제국이 무너지는데, 아무도 무너지는 걸 몰랐다는 뜻이며 이미 오래전부터 망국의 요인들이 은밀히 지속되고 있었기 때문이다.
사물인터넷 시대는 언론의 칼럼이나 기술서적, 학술회의를 통해 대대적으로 몇 날 몇 시 정해놓고 시작하지 않는다. 이미 시작해 있기 때문에 그 사실을 먼저 접한 자들이 목소리를 내거나 위의 개발자처럼 남몰래 활용할 뿐이다. 이번 사건은 개발자의 장난스러운 활용에 그쳐서 다행이지만 지금 나의 네트워크에 나도 모르는 사이 연결된 기기에 누가 장난스럽지 않은 동기를 가지고 명령을 보내고 있을지 아무도 모르는 것이다. 내 주위 어떤 기계가 나와 같은 네트워크에 연결이 되어 있는지 파악해놓는 바로 그날을 나만의 사물인터넷력 1년 1월 1일 삼는 건 어떨지.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>