암호 바꾸면 무용지물 되는 멀웨어, 왜 패닉 일으키나?
디폴트 암호 사용하는 관례 고치지 않으면 IoT는 재앙
[보안뉴스 문가용 기자] 10월 초, 다크웹의 한 포럼에 미라이(Mirai) 멀웨어의 소스코드가 공개되었다. 이로써 해킹 기술을 가진 공격자들이 사물인터넷 기기들을 활용한 디도스 공격을 할 수 있게 되었고, 이에 따라 사물인터넷 보안 관계자들은 패닉에 빠져있다.
.jpg)
하지만 패닉의 이유를 도저히 이해할 수가 없다. 왜냐하면 미라이 멀웨어를 활용해 사물인터넷 봇넷을 만들어 디도스 공격에 성공하려면 한 가지 필수 조건이 있는데, 바로 디폴트 암호이 때문이다. 디폴트 암호만 사용하지 않으면 지금 퍼지고 있는 미라이 멀웨어 소스코드는 무용지물이 되는 것이다.
디폴트 사용자 이름과 디폴트 암호가 사용되는 가장 큰 이유는, 아니, 디폴트 사용자 이름과 디폴트 암호에 대한 공격이 ‘패닉’씩이나 일으키는 이유는 무엇일까? 여기엔 몇 가지 요소들이 함께 섞여서 작용한다.
1) 사용자들은 기기가 집에 딱 도착하면 먼저 사용자 이름과 암호부터 바꿔야 한다. 그러나 실제 이걸 제대로 하는 사용자가 얼마나 될까? 거의 없다. 디폴트 암호는 그래서 사용된다.
2) 비용이 추가로 발생한다. 제조사, 유통사, 사용자 혹은 사용 기업이 디폴트 사용자 이름과 암호를 사용하지 않기로 하면 비용이 증가한다. 그래서 그냥 디폴트 암호를 여태까지 해왔던 그대로 사용하는 것인데, 이 비용 증가가 가치 있는 것인지, 아닌지를 먼저 생각해보아야 할 것이다. 또, 해킹 공격에 있어서 지금은 ‘만약’의 시대가 아니라, ‘언제’의 시대라는 것도 기억해야 할 것이다.
3) 시간이 더 투자된다. 당연히 사실이다. 시간이 얼마나 아까운 현대 사회인데, 이게 걱정되는 건 어쩔 수 없는 현상이다. 다행히 이 세 가지 문제들에 대한 해결책들이 하나 둘 등장하고 있다. 어마어마한 기술이나 비용이 드는 게 아니라서 여기에 잠깐 소개한다.
Fix 1 : 전 세계적으로 고유한 식별자나 키를 도입시켜 기기마다 다른 암호가 할당될 수밖에 없도록 한다. 이로써 암호를 추측해서 공격하는 수법은 통하지 않게 된다. 이상적이지도 않고 완벽하지도 않지만, admin / 123456보다는 100만배 낫다.
Fix 2 : 제조사나 통신사 혹은 중간 유통업자가 1회용 암호를 설정한다. 이러면 기기를 처음 받은 사용자가 암호를 최소 한 번은 바꿀 수밖에 없게 된다.
Fix 3 : IoT 기기와 페어링을 해서 사용해야 하는 기기를 위한 범용 인증서를 만들거나 애플/안드로이드의 인증 플랫폼을 활용한다. 이로써 기기를 최초로 네트워크에 연결할 때 보다 안전한 핸드셰이크를 유발할 수 있게 된다.
Fix 4 : 개인적으로 최고의 방법이라고 생각한다. IoT 인증에 대한 산업 표준을 마련한다. 사물인터넷 관련 인프라, 보안, 생산에 관한 전문가들 중 전문가들이 모여 이를 협의해야 할 것이다. 현존하는 것들보다 더 현실에 적합하고, 광범위하게 적용될 수 있는 표준이 필요하다.
네트워크 장비 업체인 링크시스(Linksys)는 WPA2 암호를 기기마다 고유한 것으로 설정하고 있다. 시장도 디폴트 암호의 위험성에 대해 슬슬 인식해가고 있다고 볼 수 있다. 그러나 문제는 속도. 배우고 적용하는 속도가 느려도 너무 느리다.
현실이 이렇지만 사물인터넷 시대는 계속해서 우리를 향해 오고 있다. 미처 깨닫기 전에 우리의 모든 것을 보고 느끼고 측정할 수 있는 기기들이 사방에 둘러쳐질 것이다. 디폴트 암호를 바꾸려는 최소한의 노력 없이 이런 환경에 던져지게 된다면, 사물인터넷은 축복이 아니라 재앙이 될 것이다.
글 : 다니엘 리델(Daniel Riedel)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
디폴트 암호 사용하는 관례 고치지 않으면 IoT는 재앙
[보안뉴스 문가용 기자] 10월 초, 다크웹의 한 포럼에 미라이(Mirai) 멀웨어의 소스코드가 공개되었다. 이로써 해킹 기술을 가진 공격자들이 사물인터넷 기기들을 활용한 디도스 공격을 할 수 있게 되었고, 이에 따라 사물인터넷 보안 관계자들은 패닉에 빠져있다.
하지만 패닉의 이유를 도저히 이해할 수가 없다. 왜냐하면 미라이 멀웨어를 활용해 사물인터넷 봇넷을 만들어 디도스 공격에 성공하려면 한 가지 필수 조건이 있는데, 바로 디폴트 암호이 때문이다. 디폴트 암호만 사용하지 않으면 지금 퍼지고 있는 미라이 멀웨어 소스코드는 무용지물이 되는 것이다.
디폴트 사용자 이름과 디폴트 암호가 사용되는 가장 큰 이유는, 아니, 디폴트 사용자 이름과 디폴트 암호에 대한 공격이 ‘패닉’씩이나 일으키는 이유는 무엇일까? 여기엔 몇 가지 요소들이 함께 섞여서 작용한다.
1) 사용자들은 기기가 집에 딱 도착하면 먼저 사용자 이름과 암호부터 바꿔야 한다. 그러나 실제 이걸 제대로 하는 사용자가 얼마나 될까? 거의 없다. 디폴트 암호는 그래서 사용된다.
2) 비용이 추가로 발생한다. 제조사, 유통사, 사용자 혹은 사용 기업이 디폴트 사용자 이름과 암호를 사용하지 않기로 하면 비용이 증가한다. 그래서 그냥 디폴트 암호를 여태까지 해왔던 그대로 사용하는 것인데, 이 비용 증가가 가치 있는 것인지, 아닌지를 먼저 생각해보아야 할 것이다. 또, 해킹 공격에 있어서 지금은 ‘만약’의 시대가 아니라, ‘언제’의 시대라는 것도 기억해야 할 것이다.
3) 시간이 더 투자된다. 당연히 사실이다. 시간이 얼마나 아까운 현대 사회인데, 이게 걱정되는 건 어쩔 수 없는 현상이다. 다행히 이 세 가지 문제들에 대한 해결책들이 하나 둘 등장하고 있다. 어마어마한 기술이나 비용이 드는 게 아니라서 여기에 잠깐 소개한다.
Fix 1 : 전 세계적으로 고유한 식별자나 키를 도입시켜 기기마다 다른 암호가 할당될 수밖에 없도록 한다. 이로써 암호를 추측해서 공격하는 수법은 통하지 않게 된다. 이상적이지도 않고 완벽하지도 않지만, admin / 123456보다는 100만배 낫다.
Fix 2 : 제조사나 통신사 혹은 중간 유통업자가 1회용 암호를 설정한다. 이러면 기기를 처음 받은 사용자가 암호를 최소 한 번은 바꿀 수밖에 없게 된다.
Fix 3 : IoT 기기와 페어링을 해서 사용해야 하는 기기를 위한 범용 인증서를 만들거나 애플/안드로이드의 인증 플랫폼을 활용한다. 이로써 기기를 최초로 네트워크에 연결할 때 보다 안전한 핸드셰이크를 유발할 수 있게 된다.
Fix 4 : 개인적으로 최고의 방법이라고 생각한다. IoT 인증에 대한 산업 표준을 마련한다. 사물인터넷 관련 인프라, 보안, 생산에 관한 전문가들 중 전문가들이 모여 이를 협의해야 할 것이다. 현존하는 것들보다 더 현실에 적합하고, 광범위하게 적용될 수 있는 표준이 필요하다.
네트워크 장비 업체인 링크시스(Linksys)는 WPA2 암호를 기기마다 고유한 것으로 설정하고 있다. 시장도 디폴트 암호의 위험성에 대해 슬슬 인식해가고 있다고 볼 수 있다. 그러나 문제는 속도. 배우고 적용하는 속도가 느려도 너무 느리다.
현실이 이렇지만 사물인터넷 시대는 계속해서 우리를 향해 오고 있다. 미처 깨닫기 전에 우리의 모든 것을 보고 느끼고 측정할 수 있는 기기들이 사방에 둘러쳐질 것이다. 디폴트 암호를 바꾸려는 최소한의 노력 없이 이런 환경에 던져지게 된다면, 사물인터넷은 축복이 아니라 재앙이 될 것이다.
글 : 다니엘 리델(Daniel Riedel)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
