올해 2월 1차 가이드 발간 후, IoT 기기 진단 위한 기초 이론 추가해 사용자 이해 증진
가정에서 보편화된 AI 스피커, 스마트 스위치, 도어락 등 보안 취약점 점검 방법 제시

[보안뉴스 김영명 기자] 라이프 케어 플랫폼 기업 SK쉴더스(대표 박진효)의 화이트 해커그룹 EQST(Experts, Qualified Security Team)가 IoT 기기 및 서비스에 대한 보안 위협에 선제적으로 대응할 수 있는 ‘IoT 진단 가이드 2.0’(이하 ‘가이드 2.0’)을 발간했다고 밝혔다. 이번 가이드 개정판은 올해 2월, IoT 진단 가이드를 발표한 이후 상세이론과 펌웨어 분석을 통한 기기 제어 취약점 진단 항목, 아키텍처별 상세 분석방안 등을 업데이트했다.


▲SK쉴더스가 발행한 ‘IoT 진단 가이드 2.0’ 표지[이미지=SK쉴더스]
시장조사기관 마켓앤마켓에 따르면 전 세계 IoT 시장 규모는 2021년 3,845억 달러(약 500조원)에서 2027년에는 5,664억 달러(약 738조원)로 연간 6.7%씩 성장할 전망이다. 코로나19 팬데믹 이후 비대면 기술 수요가 증가해 다양한 기기와 서비스에 IoT 도입이 늘어나고 있기 때문이다. 하지만 지난해 국내 한 아파트 단지의 월패드 카메라가 해킹돼 사생활 노출 영상이 다크웹에서 거래되는 등 IoT 기기와 서비스에 대한 보안 위협은 커지고 있다. EQST 또한 내년도 보안 위협을 전망하며 산업 전반에 확산한 무인화로 인해 IoT 기기 도입이 늘어나며 발생할 수 있는 위협을 경고한 바 있다.

이번 ‘가이드 2.0’에는 점검 항목으로 △하드웨어 △펌웨어 △프로토콜 △웹·모바일 점검 등으로 구분했으며, 이에 대한 취약점 설명, 취약점의 영향력, 보안대책 등 보안 위협 해결책이 담겼다. EQST가 개발한 진단 방법론을 중심으로 단계별 수행 내용을 자세하게 소개했다. 가이드 내 수록된 점검 예시의 경우, EQST가 직접 실제 기기를 테스트한 사진과 상세 설명을 담아 사용자의 쉽고 빠른 이해를 돕도록 구성했다.

EQST는 가정에서 주로 사용하고 있는 IoT 기기인 ‘AI 스피커’, ‘스마트 스위치’, ‘도어락’ 등을 직접 분해하고 점검 테스트를 진행했다. 펌웨어가 추출 가능한지 여부와 변조 적용 가능 여부를 확인하고 불필요한 네트워크 서비스가 존재하는지, 취약한 계정 정보를 사용하는지 여부 등을 상세히 기술하고 분석했다. 특히, IoT 기기의 경우 펌웨어 내부 서비스에 접근해 시도하는 원격 명령 실행 공격이 위험도가 높아 해당 위협의 대비를 당부했다.

SK쉴더스는 2018년 안전한 사물인터넷 환경 구축을 위한 보안 가이드북을 발간한데 이어 IoT 진단 가이드 개정을 통해 IoT 기기 개발, 서비스 제공 업체의 보안 의식 제고에 앞장서고 있다. IoT 기기와 서비스를 통해 정보탈취나 악성코드 유포지 활용, 원격제어 공격 등이 점차 증가할 것으로 예상돼 IoT 관련 기업의 사전 점검과 대책 마련이 필수적으로 요구된다. 앞으로 EQST는 IoT 기기와 서비스의 보안 취약점과 대응 방안을 지속해서 연구해 나갈 계획이다.

한편, SK쉴더스는 국내 1위 사이버보안 사업자로서의 역량을 바탕으로 나날이 고도화되는 사이버 위협에 대응할 수 있는 안전한 온라인 환경 구축과 관련 ESG활동을 강화하고 있다. 국내 최대 규모의 화이트 해커 그룹인 EQST와 사이버 보안 전문가 등을 중심으로 급변하는 사이버 환경에 대비할 수 있도록 해킹 점검 툴과 보안 체계 구축 노하우를 무료로 제공하고 있다.

SK쉴더스 이재우 EQST사업그룹장은 “IoT 기기는 우리의 실생활과 밀접하게 연관돼 해킹 공격을 받게 되면 사생활 침해, 민감 정보 유출 등 사회적 문제로 커질 수 있다”며 “IoT 기기 제조사와 서비스 담당자가 선제적으로 보안 위협에 대비할 수 있도록 공익 목적의 정보 공유 활동을 지속해서 이어나갈 것”이라고 전했다. 한편, EQST의 ‘가이드 2.0’은 전자문서 형태로 제작돼 SK쉴더스 홈페이지에서 무료로 내려받을 수 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>