보안연구부 -2016-059 사물인터넷 (Internet of Things) 보안위협및사고사례 ( 보안연구부보안기술연구팀 / 2016.12.12.) 개요 금융권에서사물인터넷 이하 기반금융상품및 고객서비스 개발의관심이증가하는가운데 의취약점을노린보안 사고가지속적으로발생 * IoT 기술을활용한담보대출관리, 비콘 (Beacon) 을활용한위치기반금융서비스및 영업점안내서비스등 이에 구성요소 서비스 플랫폼 네트워크 디바이스 별보안위협및 사고사례와 활용시보안고려사항을소개 보안위협및사고사례 서비스영역 기반서비스를사용관리할수있는웹또는모바일 응용프로그램의서비스에서발견되는취약점을악용한보안위협 * 사용자인증과정부재, 디폴트계정 (IoT기기공장출하시설정된아이디 / 비밀번호 (admin/admin, root/1234 등 )) 사용, 서비스요청 URL 변조등으로인한비인가자의불법접근등 <IoT 서비스영역에서의사고사례 > 발생일 공격형태 설명 ( 개요 ) 미국 DNS 서비스업체인 Dyn(Dynamic Network Services) 은 IP카메라등 IoT기기를이용한 DDoS 공격을받아 DNS서버가마비되었으며, 그결과 CNN, 아마존등 1,000여개의웹사이트가수시간동안장애발생 1) 2016.10 o 디폴트계정을사용하는 IoT기기가미라이 (Mirai) * 악성코드에감염되어디폴트 DDoS 공격에악용계정 * 미라이악성코드는네트워크를스캔하여인증이취약한주변 IoT기기를이용발견한후악성코드를전파함으로써 IoT기기를봇넷화했으며, 악성코드의 발견가능성을낮추기위해미국방성, 인터넷주소관리기관 (IANA) 등을 사전공격스캔대상에서제외 o 보안업체 Imperva가봇넷 IP주소를분석한결과약 164개국가에서미라이 악성코드에감염된 IoT기기를발견 ( 이중 6.2% 가한국에존재 ) - 1 -
디폴트계정 2015.9 이용, URL 변조 2015.8 랜섬웨어디폴트 2014.11 계정이용디폴트 2014 계정이용디폴트 2014.1 계정이용 ( 개요 ) 인터넷에연결된특정베이비모니터들 의보안취약점을이용한정보유출 2) * 원격지에서아이들을실시간으로모니터하기위해설치된 IoT기기 ( 예 : ibaby M6, Summer Infant Baby Zoom, Philips In.Sight B120 등 ) o 디폴트계정사용으로인한비인가자의불법접근 o 웹서비스에서서비스요청 URL 일부를수정하여타인의권한을획득한후카메라뷰도청또는비디오클립목록접근 ( 개요 ) 보안업체시만텍은모바일기기및함께연결된스마트와치가랜섬웨어에감염되는것을공개 3) o 안드로이드랜섬웨어인심플로커 (Simplocker) 앱을스마트와치에서동작하도록변조한후정상적인앱처럼배포 o 사용자가심플로커를스마트폰에설치하면블루투스로연결된스마트워치에자동으로푸시되고, 스마트워치상에서사용자의랜섬웨어설치를유도 o 스마트워치에랜섬웨어가설치되면스마트폰과스마트워치사용이불가 ( 개요 ) 가정용공유기를이용한 DDoS 공격이 SK브로드밴드와 LG유플러스의 DNS서버에감행되어, SK브로드밴드 DNS서비스에장애발생 4) o 미래부가 DNS서버로그를분석한결과디폴트계정을사용한공유기가악성코드에감염 o 존재하지않는도메인주소를요청하는 DNS요청패킷을대량으로생성해 DNS서버에 Flooding 공격수행 ( 개요 ) 인터넷에연결된전세계 7만여대 ( 한국 6천여대포함 ) 의 IP카메라가해킹되어불법동영상게시사이트인 Insecam에공개됨 5) IP카메라가디폴트계정을사용하고있어가정집, 사무실, 수영장등의영상이노출 ( 개요 ) 보안업체 Proofpoint는스마트가전 ( 스마트TV, 냉장고등 ) 을통해스팸메일 75만건이기업및개인에게발송 (`13.12.23.~`14.1.6.) 된사례를공개 6) o 스마트가전기기에비밀번호가없거나디폴트계정이사용되는것을악용하여씽봇 (Thingbot) 악성코드를감염 * PC들이봇넷화되어사이버공격에이용되는것처럼 IoT기기들이봇넷화된것을씽봇이라고 Proofpoint가지칭한용어 o 씽봇은공격진원지노출을방지하기위해단일 IP에서발송하는스팸메일수를최대 10개로제한 1) 임민철, ' 소스 ' 풀린 IoT 악성코드, 디도스연쇄유발, ZDNet Korea, 2016.11. 2) RAPID7, HACKING IoT: A Case Study on Baby Monitor Exposures and Vulnerabilities, 2015. - 2 -
플랫폼영역 서비스지원을위한 펌웨어등의플랫폼 에서발견되는취약점을악용한보안위협 * 사용자인증과정부재, 시스템동작과정에서노출되는정보를이용한비인가자의불법접근등 특히 모바일등기존기기와동일한 리눅스 안드로이드등 를 사용하는경우 플랫폼에서도동일한보안위협이발생 발생일공격형태설명 2015.8 2015.4 시스템의 IP 노출을 이용 디버그 포트를 이용 ( 개요 ) 운행중인지프체로키차를해킹하여오디오, 와이퍼, 엔진등을 제어하는동영상을 IT 전문매체와이어드가공개 7) o 자동차는크게인포테인먼트시스템 *, 자동차구동부, 구동부제어를위한 전자제어장치 (ECU) 로나뉨 * 인포테인먼트시스템은외부인터넷과연결되며, 캔컨트롤러 (CAN, Controller Area Network) 를통해 ECU 와연결됨 o 지프체로키인포테인먼트시스템인유커넥트 (UConnect) 에차량 IP 가노출되는 취약점이존재하며차량 IP 정보를획득한후시스템에접근하여 악성코드를감염시키고캔컨트롤러로차량제어 ( 개요 ) 보안업체그레이해시연구원은스마트홈플랫폼을해킹하여스마트 가전기기 를제어하는동영상을공개 8) * 스마트전등, 현관도어락, 화상카메라등 <IoT 플랫폼영역에서의사고사례 > o 스마트홈월패드의개발자디버그포트 (UART) 에물리적으로접근하여 관리자 (root) 권한을획득 o 암호화되지않은네트워크패킷을분석한결과스마트가전기기텔넷 서비스의계정비밀번호가기기내에평문으로저장되어있으며, 기기마다 동일한비밀번호를사용하는것을파악 o 가전기기별제어패킷을위 변조하여기기제어 2012.12 시스템 취약점 이용 ( 개요 ) 보안업체레블룬은원격으로스마트TV 에접속하여내부정보검색및 TV기능을제어하는동영상을공개 9) 리눅스 OS와펌웨어의보안취약점을이용한제로데이공격으로악성코드를감염시켜관리자 (root) 권한을획득한후공인인증서, HTTPS 인증파일등유출 3) Symantec, The evolution of ransomware, 2015.8. 4) 미래창조과학부, 공유기보안강화대책발표, 2015.3. 5) Ms. Smith, Peeping into 73,000 unsecured security cameras thanks to default passwords, NETWORKWORLD FROM IDG, 2014.11. 6) Proofpoint, Proofpoint Uncovers Internet of Things (IoT) Cyberattack, 2014.1. - 3 -
네트워크영역 활용을위해도입된정보통신기기 서버 공유기 모바일 기기 기기등 간의정보전송구간에서발견되는취약점을악용한보안위협 * 패킷스니핑, 스푸핑, 하이재킹, 불법 AP(Access Point) 를정상적인 AP로위장후개인 정보수집등 <IoT 네트워크영역에서의위협및사고사례 > 발생일 공격형태 설명 ( 개요 ) 보안전문가라홀사시는패롯사의 AR 드론의패킷을하이재킹하여 2015.12 원격제어하는동영상을공개드론 Maldrone(MALware DRONE) 악성코드로 ARM 리눅스기반의 AR 하이재킹드론과사용자의통신을하이재킹하고드론제어를담당하는정상적인 파일을감염시켜드론을통제 ( 개요 ) Sensepost 의연구원 Glenn Wilkinson 는드론을정상적인무선 AP로위장시켜 2014.3 해당 AP에접속한사용자의스마트폰에서전송되는정보를유출하는과정을시연 11) 정상적인 Wi-Fi o 스누피 (Snoopy) 악성코드를드론에설치하여드론을무선 AP로위장하였으며 AP로의드론에접속한모바일기기의통신정보를가로챔위장 o 약 1시간동안 150여개의모바일기기에서통신내용을수집하고, 아마존 등특정웹사이트의계정정보탈취 디바이스영역 공개된장소에노출된 기기의도난또는분실 기기내불법 삽입등 기기에물리적인공격을가하는보안위협 발생일공격형태설명 2013.10 해킹관련 HW 삽입 <IoT 디바이스에서의사고사례 > ( 개요 ) 해킹에사용되는마이크로칩과무선네트워크접속부품을탑재한 중국산전기다리미와전기주전자가러시아에서발견 12) 제조과정에서불법 HW 를탑재하였으며, 해당 HW( 칩 ) 는보안 설정이안된무선네트워크에접속해악성코드와스팸을유포하고감염된 컴퓨터의정보를해외서버로전송하는기능을수행 수입검사과정에서발견되어사고는발생하지않았으나기기운영환경 보안의중요성을보여줌 7) 손경호, 스마트카? " 좀비자동차될수있다 ", ZDNet Korea, 2015.8. 8) NETSEC-KR, 임베디드시스템취약점분석 ( 홈네트워크사례중심 ), 2015.4. 9) 남혜현, 스마트 TV 해킹 " 실제로해보니되네 ", ZDNet Korea, 2012.12. 10) Swati Khandelwal, MalDrone? First Ever Backdoor Malware for Drones, TheHackerNews, 2015.1. 11) glenn, Snoopy: A distributed tracking and profiling framework, sensepost.com 2012.9. 12) 개인정보보호위원회, 사물인터넷시대의개인정보침해요인분석및실제사례조사, 2015. - 4 -
보안고려사항 금융권의 활용시서비스 플랫폼 네트워크 디바이스의사고사례를 참고하여보안위협에대응하고 안전한서비스환경을구축하기위해 지속적인보안업데이트등의운영 관리방안이필요 영역 공통사항 서비스 플랫폼 네트워크 디바이스 운영 및관리 참조 : IoT 공통보안가이드 ( 미래창조과학부, 2016.9), IoT 디바이스보안인증기반연구 ( 한국인터넷진흥원, 2015.2.) 등 설명 o IoT 기기의소형화 / 저전력 / 저성능특성을고려한보안기술 * 적용이필요하며, 표준프로토콜 ** 사용을권장 * 암호화통신, 데이터암호화, 접근통제, 기밀성 / 무결성검증기술등 ** 한국, 유럽, 북미등이참여한 onem2m, IETF 의 CoAP, IBM 의 MQTT 등 o 내재될수있는보안취약점을예방하기위해설계 / 개발단계부터 SW 의시큐어 코딩적용 o 디폴트계정및유추하기쉬운비밀번호사용금지 o IoT 기기또는서비스에접근하는대상에대한인증적용 o IoT 기기내에암 복호화키가저장될경우별도의 HW 보안영역사용 o 안전성이검증된프로토콜적용 o IoT 기기내에서비스또는사용자와관련된임시데이터저장시암호화 o IoT 기반서비스는웹또는모바일앱의형태로고객과금융회사에게제공되므로 기존의웹과모바일앱이가진취약점에노출될수있어 OWASP 모바일 / 웹 /IoT 가이드를참고하여취약점점검및조치방안마련 o IoT 기기의 OS * 무결성검증및내재된 HW 실행코드영역제어조치고려 * 리눅스, 안드로이드, TinyOS, RIOT, 구글브릴로 (Brillo), 삼성타이젠등 o IoT 기기의외부네트워크노출을최소화하기위해불필요한포트와데몬제거 o 펌웨어의인증값을검증하여무결성을확인하는보안부팅기술적용 o 네트워크서비스간의상호인증, 암호화된데이터송수신및무결성검증, 네트워크주소필터링등의기능고려 o 개방된장소에 IoT 기기설치시외부노출을최소화 o IoT 기기의제한된사용자인터페이스로인해구입시설정된값들을그대로 사용하는경우가많아이를 ( 재 ) 설정할수있는방안고려 o IoT 기기및서비스의취약점을모니터링하고지속적인보안업데이트수행 o 데이터백업및복구방안마련 o 수집된개인정보에적절한프라이버시보호기능및익명화기술적용 o 사고발생시분석및책임추적을위한로그관리방안마련및보안패치에 코드서명기법적용 <IoT 보안고려사항 > o IoT 기기의이상유무검사방법과폐기시처리절차마련 - 5 -
결론 현재금융권의 활용사례는많지않지만 시장규모가커지면서 고객만족도향상 신규금융상품및고객서비스개발을위한방안으로 기술이고려되고있으며많은전문가들이향후도입사례가증가 할것으로예측 반면 시만텍의 년 대보안전망에따르면 기술의확산으로새로운유형의보안위협증가 기업내부침투를위한 기기공격 대규모 공격등더욱심화된보안위협이나타날것으로예측 따라서금융권에서는 활용시서비스 네트워크 플랫폼등각영역에서발생가능한보안위협에대응하기위해검증된보안기술적용 취약점모니터링등기술적및관리적측면에서의지속적노력이필요 13) 금융보안원, 금융권사물인터넷 (IoT) 동향및향후전망, 2016. 14) ITWorld 편집부, 시만텍, 2017 년 10 대보안전망발표, ITWorld, 2016.12. - 6 -