2017.02.23

“숨을 곳은 없다” 우리를 위협할 새로운 해킹 시나리오 9가지

Roger A. Grimes | InfoWorld

안전하지 않은 기기들이 우리 삶 속에 스며들고 있다. 이제 보안 위협은 단순히 디지털 세상에만 국한되는 것이 아니다.

대부분 컴퓨터 보안 전문가들이 예언한 것처럼 사물 인터넷(IoT, Internet of Things)이 점점 더 나빠지고 있다. 실제로 관련 제품을 출시하는 업체들 가운데, IoT 기기의 잠재적 위협을 온전히 이해하고 있는 경우는 거의 없는 것이 현실이다. 인터넷에 연결되어 코드를 구동하는 모든 대상은 악의적 해커의 공격 대상이 될 수 있다. 그럼에도 불구하고 인터넷 연결 기기는 더욱 빠르게 우리의 일상에 자리잡아가고 있으며, 우리 사회에 재앙에 가까운 상황이 연출될 수 있는 가능성도 커지고 있다. 예를 들어 해커들은 개인 보안 카메라를 이용해 그 소유자의 일상을 엿볼 수 있으며, 나아가 전에 없던 규모의 서비스 거부 공격(DoS, Denial-of-Service)을 행하는 시나리오도 예상해볼 수 있다.



더욱 우려되는 점은 IoT 기기의 취약성은 디지털 영역에만 영향을 미치는 것이 아니라는 사실이다. IoT를 활용한 공격은 사람들을 다치게 하고, 나아가 생명을 빼앗아 갈 수도 있다. 이론적인 이야기가 아니다. 이런 위협은 현재의 기술로도 충분히 가능하며, 그저 아직 실제 실행 사례가 없을 뿐이다.

여기 향후 우리를 위협할 아홉 가지 해킹 시나리오를 소개해본다.

심박 모니터 해킹
기록 가능 소프트웨어, 무선 통신, 인터넷 연결 기능을 갖춘 의료용 기기들에 대한 해킹은 오래 전부터 실존해온 위협이다. 심박 조율기, 심박 모니터, 정맥 주사기, 약물 투여기, 진단용 기구 등의 해킹 가능성은 이미 컴퓨터 과학자와 해커들에 의해 실증된 바 있다. 모두 환자를 사망에 이르게 할 수 있는 도구들이다. 이러한 도구들에 대한 위협은 곳곳에서 수시로 대두되고 있다.

물론 의료 관련 기술 업체들이 이런 취약성과 위협을 고려하지 않는 것은 아니다. 하나의 의료 기기가 시장에 나오기까지는 개발과 테스트에 10년에 가까운 기간이 소요되기도 하고, FDA, FCC 등 수많은 규제 기관들의 지침, 법률 검토 과정 역시 거쳐야 한다. 또한 의료기기 제조사들은 최신의 대중적인 소프트웨어를 이용하는 데에도 소극적인 집단이다. 개발에 긴 시간을 투자하고 소프트웨어 역시 보다 장기간에 걸쳐 검증된, 안전성 높은 것을 이용함으로써 제조사들은 출시 이후 자신들의 상품으로 야기될 수 있는 문제를 근절할 수 있다고 믿는다.

하지만 이런 노력으로 해킹의 위협이 완전히 차단되는 것은 아니었다. 지난 10년 간 의료 기기 시장에서는 다수의 리콜 사례들이 발생했고, 그 가운데 상당수는 사이버 보안에 그 원인이 있었다.

문제의 원인은 아이러니하게도 이들이 시행하는 장기간의 검증 과정과 다수의 규제 준수 활동들에 있었다. 소프트웨어나 코드는 리뷰 과정을 거쳐 시중에 공개된 이후에는 큰 규모의 업데이트를 진행하기 어려운 것이 사실이다. 그 결과 의료 기기들에 적용된 오래된 기술의 보안 기준과 수준은 그것이 처음 선보인 당시에 맞춰져 있는 경우가 많다. 시장의 최신 보안 방법론은 이들 기기와는 다른 세상의 이야기이며, 반대로 기기에 적용된 기술에 대한 해킹 방법은 이미 수 년 전 발견됐다. 의료 기기들에 대한 침투 테스트를 진행할 때 필자가 출발점으로 삼는 지점은 일반적인 컴퓨터라면 몇 년 전 패치가 이뤄졌을, 가장 오래된 기술 영역. 그리고 이 전략은 거의 매번 효과를 발휘하고 있다. 의료 기기 산업의 이러한 문제는 우리에게 한가지 교훈을 전해준다. 때론 과도한 신중함이 해킹의 위협을 확대함을 기억하자.

통제를 벗어난 자동차
요즘 자동차 광고들을 보자면 IT 기업의 홍보 영상을 보는 것 같다. 업체들은 멋진 사이버 기능이 어떻게 자동차의 성능과 엔진 기능, 스타일을 향상시키는지를 자랑스럽게 전시한다. 한 가지 멋진 기능에 매혹돼 계약서에 서명하는 밀레니엄 세대의 고객들에 대응하려면 충분히 합리적인 전략일 것이다.

문제는 차 문을 열고, 엔진을 정지하고, 운행을 조작하는 등의 활동까지 원격으로 가능하게 됐다는 점이다. 더욱이 자동차 회사들이 시스템 보안 문제에 주목한 것은 아주 최근의 일이다. 필자가 교류해온 시장의 관련 전문가들은 자동차가 ‘해킹에서 자유롭다’고 말할 수 있으려면 앞으로도 오랜 시간이 필요할 것이라 이야기한다. 한 차량 보안 전문가는 필자에게 “30년이 지났지만 아직도 완벽한 컴퓨터 보안은 불가능하지 않은가? 자동차에 있어서 이와 다른 태도를 취하는 것은 합리적이지 못한 생각이다”라고 이야기했다.

옳은 지적이다. 그럼에도 자동차 산업의 종사자들은 자신들이 판매하는 상품의 시스템을 보호하는 것을 그저 부차적인 문제 정도로 취급하고 있는 것이 현실이다. 전체 시스템을 보호하는 것이 어렵다면, 최소한 엔진이나 브레이크 등 탑승자의 생명과 직결된 요소들에 대해서만이라도 보안 조치를 취하는 것이 현실적인 해결책일지도 모르겠다. 필자와 대화를 나눈 한 차량 보안 전문가는 “스테레오 채널을 조작하거나 내비게이션 음성을 변경하는 것은 넘어갈 수 있는 문제다. 하지만 사람의 생명이 달린 문제라면 얘기가 달라진다. 이러한 요소의 보안과 관련해서는 우리가 필요한 역량을 충분히 갖추고 있다고 믿는다”라고 이야기했다.

버튼 한 번으로 열리는 현관
커넥티드 홈이 도둑들의 주목을 받고 있다. 가정에 네트워크를 통해 조작할 수 있는 기기가 있다면, 해당 기기들은 모두 잠재적 해킹의 대상으로 간주할 필요가 있다. 시스템 침입을 통해 현관 도어락을 열고, 경보 시스템을 해제하고, 차고 문이나 난방기 등을 조작하는 것이 가능해지는 것이다. 냉장고를 해킹해 스팸을 발송한 사례 등 역시 이미 현실에서 목격되고 있다.

커넥티드 홈의 대중화는 새로운 절도 전략의 등장을 이끌 것이다. 이제 도둑들은 창문을 깨부수는 대신 간단한 클릭만으로 현관과 차고의 문을 열 수 있게 될 것이다. 조용히 움직일 수 있는 곳에는 범죄자가 모인다. 더욱이 최신의 스마트 기기가 설치된 가정이라면, 그에 걸맞는 값비싼 물건들 역시 많다는 판단도 가능하다. 개인적으로는 전자 자물쇠를 비롯한 가정용 기기들이 시판되는 것이 조금은 시기상조가 아닐까 우려한다. 다행히 여러 소식통에 따르면 가정용 기기 제조사들의 보안에 대한 관심은 이전보다 확대되는 추세다.


2017.02.23

“숨을 곳은 없다” 우리를 위협할 새로운 해킹 시나리오 9가지

Roger A. Grimes | InfoWorld

안전하지 않은 기기들이 우리 삶 속에 스며들고 있다. 이제 보안 위협은 단순히 디지털 세상에만 국한되는 것이 아니다.

대부분 컴퓨터 보안 전문가들이 예언한 것처럼 사물 인터넷(IoT, Internet of Things)이 점점 더 나빠지고 있다. 실제로 관련 제품을 출시하는 업체들 가운데, IoT 기기의 잠재적 위협을 온전히 이해하고 있는 경우는 거의 없는 것이 현실이다. 인터넷에 연결되어 코드를 구동하는 모든 대상은 악의적 해커의 공격 대상이 될 수 있다. 그럼에도 불구하고 인터넷 연결 기기는 더욱 빠르게 우리의 일상에 자리잡아가고 있으며, 우리 사회에 재앙에 가까운 상황이 연출될 수 있는 가능성도 커지고 있다. 예를 들어 해커들은 개인 보안 카메라를 이용해 그 소유자의 일상을 엿볼 수 있으며, 나아가 전에 없던 규모의 서비스 거부 공격(DoS, Denial-of-Service)을 행하는 시나리오도 예상해볼 수 있다.



더욱 우려되는 점은 IoT 기기의 취약성은 디지털 영역에만 영향을 미치는 것이 아니라는 사실이다. IoT를 활용한 공격은 사람들을 다치게 하고, 나아가 생명을 빼앗아 갈 수도 있다. 이론적인 이야기가 아니다. 이런 위협은 현재의 기술로도 충분히 가능하며, 그저 아직 실제 실행 사례가 없을 뿐이다.

여기 향후 우리를 위협할 아홉 가지 해킹 시나리오를 소개해본다.

심박 모니터 해킹
기록 가능 소프트웨어, 무선 통신, 인터넷 연결 기능을 갖춘 의료용 기기들에 대한 해킹은 오래 전부터 실존해온 위협이다. 심박 조율기, 심박 모니터, 정맥 주사기, 약물 투여기, 진단용 기구 등의 해킹 가능성은 이미 컴퓨터 과학자와 해커들에 의해 실증된 바 있다. 모두 환자를 사망에 이르게 할 수 있는 도구들이다. 이러한 도구들에 대한 위협은 곳곳에서 수시로 대두되고 있다.

물론 의료 관련 기술 업체들이 이런 취약성과 위협을 고려하지 않는 것은 아니다. 하나의 의료 기기가 시장에 나오기까지는 개발과 테스트에 10년에 가까운 기간이 소요되기도 하고, FDA, FCC 등 수많은 규제 기관들의 지침, 법률 검토 과정 역시 거쳐야 한다. 또한 의료기기 제조사들은 최신의 대중적인 소프트웨어를 이용하는 데에도 소극적인 집단이다. 개발에 긴 시간을 투자하고 소프트웨어 역시 보다 장기간에 걸쳐 검증된, 안전성 높은 것을 이용함으로써 제조사들은 출시 이후 자신들의 상품으로 야기될 수 있는 문제를 근절할 수 있다고 믿는다.

하지만 이런 노력으로 해킹의 위협이 완전히 차단되는 것은 아니었다. 지난 10년 간 의료 기기 시장에서는 다수의 리콜 사례들이 발생했고, 그 가운데 상당수는 사이버 보안에 그 원인이 있었다.

문제의 원인은 아이러니하게도 이들이 시행하는 장기간의 검증 과정과 다수의 규제 준수 활동들에 있었다. 소프트웨어나 코드는 리뷰 과정을 거쳐 시중에 공개된 이후에는 큰 규모의 업데이트를 진행하기 어려운 것이 사실이다. 그 결과 의료 기기들에 적용된 오래된 기술의 보안 기준과 수준은 그것이 처음 선보인 당시에 맞춰져 있는 경우가 많다. 시장의 최신 보안 방법론은 이들 기기와는 다른 세상의 이야기이며, 반대로 기기에 적용된 기술에 대한 해킹 방법은 이미 수 년 전 발견됐다. 의료 기기들에 대한 침투 테스트를 진행할 때 필자가 출발점으로 삼는 지점은 일반적인 컴퓨터라면 몇 년 전 패치가 이뤄졌을, 가장 오래된 기술 영역. 그리고 이 전략은 거의 매번 효과를 발휘하고 있다. 의료 기기 산업의 이러한 문제는 우리에게 한가지 교훈을 전해준다. 때론 과도한 신중함이 해킹의 위협을 확대함을 기억하자.

통제를 벗어난 자동차
요즘 자동차 광고들을 보자면 IT 기업의 홍보 영상을 보는 것 같다. 업체들은 멋진 사이버 기능이 어떻게 자동차의 성능과 엔진 기능, 스타일을 향상시키는지를 자랑스럽게 전시한다. 한 가지 멋진 기능에 매혹돼 계약서에 서명하는 밀레니엄 세대의 고객들에 대응하려면 충분히 합리적인 전략일 것이다.

문제는 차 문을 열고, 엔진을 정지하고, 운행을 조작하는 등의 활동까지 원격으로 가능하게 됐다는 점이다. 더욱이 자동차 회사들이 시스템 보안 문제에 주목한 것은 아주 최근의 일이다. 필자가 교류해온 시장의 관련 전문가들은 자동차가 ‘해킹에서 자유롭다’고 말할 수 있으려면 앞으로도 오랜 시간이 필요할 것이라 이야기한다. 한 차량 보안 전문가는 필자에게 “30년이 지났지만 아직도 완벽한 컴퓨터 보안은 불가능하지 않은가? 자동차에 있어서 이와 다른 태도를 취하는 것은 합리적이지 못한 생각이다”라고 이야기했다.

옳은 지적이다. 그럼에도 자동차 산업의 종사자들은 자신들이 판매하는 상품의 시스템을 보호하는 것을 그저 부차적인 문제 정도로 취급하고 있는 것이 현실이다. 전체 시스템을 보호하는 것이 어렵다면, 최소한 엔진이나 브레이크 등 탑승자의 생명과 직결된 요소들에 대해서만이라도 보안 조치를 취하는 것이 현실적인 해결책일지도 모르겠다. 필자와 대화를 나눈 한 차량 보안 전문가는 “스테레오 채널을 조작하거나 내비게이션 음성을 변경하는 것은 넘어갈 수 있는 문제다. 하지만 사람의 생명이 달린 문제라면 얘기가 달라진다. 이러한 요소의 보안과 관련해서는 우리가 필요한 역량을 충분히 갖추고 있다고 믿는다”라고 이야기했다.

버튼 한 번으로 열리는 현관
커넥티드 홈이 도둑들의 주목을 받고 있다. 가정에 네트워크를 통해 조작할 수 있는 기기가 있다면, 해당 기기들은 모두 잠재적 해킹의 대상으로 간주할 필요가 있다. 시스템 침입을 통해 현관 도어락을 열고, 경보 시스템을 해제하고, 차고 문이나 난방기 등을 조작하는 것이 가능해지는 것이다. 냉장고를 해킹해 스팸을 발송한 사례 등 역시 이미 현실에서 목격되고 있다.

커넥티드 홈의 대중화는 새로운 절도 전략의 등장을 이끌 것이다. 이제 도둑들은 창문을 깨부수는 대신 간단한 클릭만으로 현관과 차고의 문을 열 수 있게 될 것이다. 조용히 움직일 수 있는 곳에는 범죄자가 모인다. 더욱이 최신의 스마트 기기가 설치된 가정이라면, 그에 걸맞는 값비싼 물건들 역시 많다는 판단도 가능하다. 개인적으로는 전자 자물쇠를 비롯한 가정용 기기들이 시판되는 것이 조금은 시기상조가 아닐까 우려한다. 다행히 여러 소식통에 따르면 가정용 기기 제조사들의 보안에 대한 관심은 이전보다 확대되는 추세다.


X