데이터ㆍ분석 / 디지털 디바이스 / 모바일 / 웨어러블컴퓨팅

사물인터넷 기기 확산을 막는 5가지 위협 요소

David Geer | CSO 2014.01.17


해커들이 구글 글래스를 해킹할 경우 기업 기밀과 지적 재산을 취득할 수 있다. 기존에는 구글 글래스 착용자가 기업 내에 여러 사무실을 돌아다니면서 어떠한 종류의 데이터를 얼마나 많이 취득하는지에 대해 알지 못했다. 해커는 해킹을 통해 구글 글래스로부터 소리와 영상을 얻을 수 있다.

“모든 기업은 웨어러블 기기에 대한 보안정책을 수립해야 하며 이를 통해 웨어러블 기기의 사용 용도와 사용 시점에 대한 명확한 사용 가이드라인을 수립해야 한다”고 어빈은 말했다.

유통업 재고관리와 M2M
비전게인에 따르면, 전세계적인 무선 사물통신(M2M) 시장 규모는 2013년 501억 달러에 달했다고 한다. 2014년에는 재고관리 관련 기술제품이 저렴한 3G 무선 데이터 송신기를 포함하는 경우가 늘어나게 될 것이다. 이들 송신기를 통해 인터넷에 접속하기 때문에 인터넷 기반의 보안공격에 대한 취약성이 늘어난다고 페스카토레는 설명했다.

“M2M 기기는 복잡한 기기가 아니기 때문에 감지(detection) 기능, 통계적 정보 취합, 원격 관리 등이 가능하다”라고 어빈은 말했다. 보안 솔루션을 통해 기기에 대한 염탐을 방지할 수 있을 가능성이 적다.

새로이 도입되는 3G 송신기의 목적은 언제나 실시간으로 위치정보를 보고하기 위함이다. 하지만 정치적 해커(hacktivists)들은 일반적으로 디도스 공격을 통해 공격 대상 사이트에 대한 부하를 가중시킬 것이며 송신기를 통해 나오는 정보를 중간에서 가로채 서버에 월마트와 같은 유통기업에서 축구공 재고가 부족해지고 있다는 거짓 정보를 전달하게 될 것이다. 그리고 이로 인해 각지의 월마트 점포에는 엄청나게 많은 양의 축구공이 납품되는 일이 벌어질 것이라고 페스카토레는 말했다. “아니면 기회를 이용하고자 하는 정치적 해커들이 콘플레이크에 대한 발주를 늘리거나 줄여 켈로그와 같은 기업의 주가에 영향을 주는 상황도 초래될 수 있다”고 페스카토레는 덧붙였다.

민간의 드론(무인기)의 사용
2012년 2월 미국 의회는 FAA 현대화 개혁 법안을 제정하여 무인기에 대한 규정을 마련하고 이를 통해 FAA가 2015년까지 신속히 UAV 및 드론을 영공 체계 내에 포함시키도록 하였다. 인클루드 시큐리티(Include Security, LLC)의 매니징 파트너인 에릭 카베타스는 “드론은 5년 내로 상당히 보편화 될 것이다”라고 말했다. 따라서 CSO들도 드론의 보안을 확립하기 위한 계획을 수립해야 할 것이다.

“드론은 취약성이 높은 원격측정제어(telemetry) 신호에 의존하며 따라서 공격자들이 버퍼 오버런(buffer overruns), 포멧 스트링(format strings), SQL 인젝션(SQL injections)과 드론 펌웨어에 존재하는 승인 우회(authentication bypasses)와 같은 전통적인 공격으로 드론을 이용할 수 있다”고 카페타스는 설명했다.

기록상으로도 이미 드론에 대한 공격이 이뤄진 사례를 찾아볼 수 있다. 2009년 중동에서 민병대가 프레데터 드론(Predator drone)의 신호를 가로챈 적이 있다. 이는 보안이 취약한 프로토콜을 이용했기 때문이라도 카베타스는 말했다. 이를 통해 민병대는 드론 내장 카메라를 통해 촬영되는 정보를 염탐할 수 있었다. 따라서 프로토콜의 보안성이 담보되지 않은 상태에서라면 국내에서라도 UAV의 사용에 있어서 유사한 공격이 발생될 수 있는 것이다.

2012년에는 미국 국토안보부의 초청을 받은 텍사스 A&M 대학의 학생들이 해당 대학에서 운영하는 드론의 GPS 신호를 도용(spoof)하여 내비게이션 컴퓨터에 잘못된 위치정보를 전달하게 되었으며 이로 인해 드론이 추락한 적이 있다고 카베타스는 설명했다.

“2012년 드론 프로그래밍 대회인 드론게임(DroneGames)에서 우리가 전혀 예상하지 못한 일이 일어났다. 대회의 승리 팀은 바이러스에 감염돼, 근접하려는 모든 드론에게 바이러스가 전염되도록 하였다”라고 카베타스는 말했다. 드론의 펌웨어가 가진 동질성으로 인해 동일한 보안 취약성을 갖게 되며, 해커들은 하늘을 떠도는 UAV들을 쉽게 해킹할 수 있게 된 것이다.

수년 내로 드론은 물리적 모의침투 테스팅(physical penetration testing), 기업 스파이 행위 및 해커 공격 행위에 대한 표준 요소로 부상하게 될 것이라고 카베타스는 말했다. “공격자들이 창문 밖에서 촬영한 고해상도 정지화상과 동영상을 취득하여 포스트잇에 부착된 암호나 다른 기밀 정보를 취득할 수도 있다. 또는 도청 목적으로 고음질 마이크를 회의실이나 CEO 집무실 외부에 심을 수도 있다”라고 카베타스는 주장했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.