2014.08.07

블랙햇 2014 | 임베디드 기기와 사물인터넷의 안전에 대한 도전과 과제

George V. Hulme | CSO
매년 다양하고 수많은 기기가 출시되는 가운데, 보안 관리자들은 점점 늘어가는 공격으로부터 자사를 보호해야 할 일이 점점 더 많아지고 있다. 올해 블랙햇 2014에서도 이런 추세는 계속될 것으로 보인다.

이번 블랙햇 미국 2014에서 연구원 찰리 밀러와 크리스토퍼 발라섹은 원격 자동차 공격면에 대한 조사라는 주제의 프레젠테이션에서 어떻게 공격자들이 자동차의 취약점을 활용해 해킹할 수 있는 지를 보여줄 예정이다.

종종 원격 해킹도 가능하며 치명적인 시연도 준비됐다. 한편 로간 램은 자신의 프레젠테이션인 '주택 불안: 알람 해제, 가짜 알람과 비밀 정보수집(Home Insecurity: No Alarms, False Alarms and SigInt)'에서 주택 보안 시스템이 어떻게 속임수에 쉽게 넘어가는지를 보여줄 예정이다.

그리고 연구원 돈 베일리와 잭 라니에는 '보안과 현대의 임베디드, 어디로 가야 하나(Embedding the Modern World, Where Do We Go From Here)'라는 주제로 토론을 벌일 예정이다. 패널은 임베디드 컴퓨터, 스마트워치, 카메라, 산업제어 시스템, 기타 장비들이 앞으로의 보안에 미칠 영향에 대해 검증할 것이다.

보안업계가 사물인터넷과 같은 임베디드 기기를 안전하게 보호하기 위해 신원관리나 보안 소프트웨어를 개발하는 것에 익숙하다는 점은 희소식이다. 하지만 동시에 아직 이를 광범위하게 마스터하지 못했다는 점은 안타까운 일이다.

랩 마우스 시큐리티(Lab Mouse Security) CEO 돈 베일리는 "신원, 관련 사용자, 기기 권한 관리가 사물인터넷의 신뢰를 구축하는데 핵심이 될 것"이라고 주장했다. 베일리는 "가장 큰 문제는 바로 신원이다. 이런 모든 무인 기기들은 어느 누구에게도 모니터되지 않을 것이다"고 설명했다.

이런 복잡한 기기들이 자신의 냉장고, 자동차, 자신이 상상하는 무엇이든 제어하게 될 것이다. 하지만 이런 제어가 특정 개인의 결정이라는 점을 어떻게 파악할 수 있을까? 이런 제어가 인증된 사용자에 의해 시작된 것이라는 점은 어떻게 확신할 수 있을까?

그리고 개입되는 주체가 많기 때문에 사물인터넷과 임베디드 기기는 상호연결된 네트워크, 하드웨어, 애플리케이션, 운영체제, 프로토콜에 있어서 전체 스택의 신뢰에 의존한다.

베일리는 "각기 다른 조직으로부터의 수많은 개입을 필요로 하는데 사람들은 이런 복잡성이 얼마나 많은 취약점을 만들어내는 지에 대해서는 잘 이해하지 못한다"고 말했다.

예를 들어 베일리는 사물인터넷 시스템에 침투하는 가장 흔한 방법으로 셀룰러 네트워크를 통하는 방식을 꼽았는데, 통신망의 채널 보안이 통신업체로부터 관리된 것이라는 가정을 기본으로 하기 때문이다.

베일리는 "그리고 각각의 소프트웨어와 하드웨어 제공업체들은 모두 안전하다고 자신하곤 하는데, 어느 누구도 전체 시스템의 보안을 실질적으로 제어하지 않는다"고 지적했다.

이런 잠재적인 취약점들로 인해 소프트웨어 보안은 그 어느 때보다도 중요하다.
제러드 디못은 이번 컨퍼런스에서 자신의 강연인 '해커와 개발자들을 위한 애플리케이션 보안(Application Security for Hackers and Developers)'에서 소스코드 감사, 퍼징(fuzzing), 역엔지니어링, 취약점 공격 개발, 그리고 소프트웨어에서 발견되는 취약점 공격버그를 찾고 수정하는데 필요한 능력과 툴에 대해 이야기할 예정이다.

디못은 많은 전문가들이 현대식 프레임워크, 스크립트, 고수준 언어의 보안에 초점을 맞추고 있지만, 이것보다는 전통적인 C와 C++의 보안에 더 많은 기술이 필요해질 것이라고 말했다.

디못은 "그래서 커널, 저수준 운영체제 보안이 이런 기기들의 보안에 핵심적이다. 그리고 C와 C++에 있어서는 개발자들이 손수 이런 언어로 시스템 리소스를 관리해야 하기 때문에 실수가 나올 확률이 훨씬 높다"고 설명했다.

바로 이런 저수준 언어가 자동차의 텔레매틱스 시스템과 주택 온도조절기, 스마트 TV, 기타 가전제품의 임베디드 시스템을 구동한다. 이 모든 기기들은 여전히 C와 C++로 작성되고 있다.

이런 언어로의 안전한 개발과 연관된 어려움은 거의 지난 20년간 계속해서 씨름해 온 화두다.
디못은 "사람들은 종종, '문제가 있으면 그냥 C와 C++ 언어를 없애버리면 안될까. 모두 C#, 자바, 조금 더 안전한 개발 언어로 작성하면 안 되는 거야?'라는 이야기를 듣곤 한다"고 말했다.

사물인터넷과 임베디드 기기를 안전하게 보호하는데 있어서 디못은 어떻게 생각할까?
디못은 "아직 현실화되진 않았지만 누군가 원격으로 자동차를 조작해 운행되는 차량을 다리 밑으로 떨어지게 만드는 사건이 발생한다고 해도 현 상황을 볼 때 전혀 놀라지 않을 것"이라고 어느 정도 농담을 섞어가면서 말했다.

또한 디못은 "수많은 사람들은 그들이 자동차 혹은 산업 제어 시스템에 사용되는 코드의 양을 잘 이해하지 못한다. 이런 시스템에 대한 수많은 공격이 감행될지는 확실하지 않지만 이런 부분에 있어서 역사는 항상 반복해왔다"고 덧붙였다. editor@itworld.co.kr


2014.08.07

블랙햇 2014 | 임베디드 기기와 사물인터넷의 안전에 대한 도전과 과제

George V. Hulme | CSO
매년 다양하고 수많은 기기가 출시되는 가운데, 보안 관리자들은 점점 늘어가는 공격으로부터 자사를 보호해야 할 일이 점점 더 많아지고 있다. 올해 블랙햇 2014에서도 이런 추세는 계속될 것으로 보인다.

이번 블랙햇 미국 2014에서 연구원 찰리 밀러와 크리스토퍼 발라섹은 원격 자동차 공격면에 대한 조사라는 주제의 프레젠테이션에서 어떻게 공격자들이 자동차의 취약점을 활용해 해킹할 수 있는 지를 보여줄 예정이다.

종종 원격 해킹도 가능하며 치명적인 시연도 준비됐다. 한편 로간 램은 자신의 프레젠테이션인 '주택 불안: 알람 해제, 가짜 알람과 비밀 정보수집(Home Insecurity: No Alarms, False Alarms and SigInt)'에서 주택 보안 시스템이 어떻게 속임수에 쉽게 넘어가는지를 보여줄 예정이다.

그리고 연구원 돈 베일리와 잭 라니에는 '보안과 현대의 임베디드, 어디로 가야 하나(Embedding the Modern World, Where Do We Go From Here)'라는 주제로 토론을 벌일 예정이다. 패널은 임베디드 컴퓨터, 스마트워치, 카메라, 산업제어 시스템, 기타 장비들이 앞으로의 보안에 미칠 영향에 대해 검증할 것이다.

보안업계가 사물인터넷과 같은 임베디드 기기를 안전하게 보호하기 위해 신원관리나 보안 소프트웨어를 개발하는 것에 익숙하다는 점은 희소식이다. 하지만 동시에 아직 이를 광범위하게 마스터하지 못했다는 점은 안타까운 일이다.

랩 마우스 시큐리티(Lab Mouse Security) CEO 돈 베일리는 "신원, 관련 사용자, 기기 권한 관리가 사물인터넷의 신뢰를 구축하는데 핵심이 될 것"이라고 주장했다. 베일리는 "가장 큰 문제는 바로 신원이다. 이런 모든 무인 기기들은 어느 누구에게도 모니터되지 않을 것이다"고 설명했다.

이런 복잡한 기기들이 자신의 냉장고, 자동차, 자신이 상상하는 무엇이든 제어하게 될 것이다. 하지만 이런 제어가 특정 개인의 결정이라는 점을 어떻게 파악할 수 있을까? 이런 제어가 인증된 사용자에 의해 시작된 것이라는 점은 어떻게 확신할 수 있을까?

그리고 개입되는 주체가 많기 때문에 사물인터넷과 임베디드 기기는 상호연결된 네트워크, 하드웨어, 애플리케이션, 운영체제, 프로토콜에 있어서 전체 스택의 신뢰에 의존한다.

베일리는 "각기 다른 조직으로부터의 수많은 개입을 필요로 하는데 사람들은 이런 복잡성이 얼마나 많은 취약점을 만들어내는 지에 대해서는 잘 이해하지 못한다"고 말했다.

예를 들어 베일리는 사물인터넷 시스템에 침투하는 가장 흔한 방법으로 셀룰러 네트워크를 통하는 방식을 꼽았는데, 통신망의 채널 보안이 통신업체로부터 관리된 것이라는 가정을 기본으로 하기 때문이다.

베일리는 "그리고 각각의 소프트웨어와 하드웨어 제공업체들은 모두 안전하다고 자신하곤 하는데, 어느 누구도 전체 시스템의 보안을 실질적으로 제어하지 않는다"고 지적했다.

이런 잠재적인 취약점들로 인해 소프트웨어 보안은 그 어느 때보다도 중요하다.
제러드 디못은 이번 컨퍼런스에서 자신의 강연인 '해커와 개발자들을 위한 애플리케이션 보안(Application Security for Hackers and Developers)'에서 소스코드 감사, 퍼징(fuzzing), 역엔지니어링, 취약점 공격 개발, 그리고 소프트웨어에서 발견되는 취약점 공격버그를 찾고 수정하는데 필요한 능력과 툴에 대해 이야기할 예정이다.

디못은 많은 전문가들이 현대식 프레임워크, 스크립트, 고수준 언어의 보안에 초점을 맞추고 있지만, 이것보다는 전통적인 C와 C++의 보안에 더 많은 기술이 필요해질 것이라고 말했다.

디못은 "그래서 커널, 저수준 운영체제 보안이 이런 기기들의 보안에 핵심적이다. 그리고 C와 C++에 있어서는 개발자들이 손수 이런 언어로 시스템 리소스를 관리해야 하기 때문에 실수가 나올 확률이 훨씬 높다"고 설명했다.

바로 이런 저수준 언어가 자동차의 텔레매틱스 시스템과 주택 온도조절기, 스마트 TV, 기타 가전제품의 임베디드 시스템을 구동한다. 이 모든 기기들은 여전히 C와 C++로 작성되고 있다.

이런 언어로의 안전한 개발과 연관된 어려움은 거의 지난 20년간 계속해서 씨름해 온 화두다.
디못은 "사람들은 종종, '문제가 있으면 그냥 C와 C++ 언어를 없애버리면 안될까. 모두 C#, 자바, 조금 더 안전한 개발 언어로 작성하면 안 되는 거야?'라는 이야기를 듣곤 한다"고 말했다.

사물인터넷과 임베디드 기기를 안전하게 보호하는데 있어서 디못은 어떻게 생각할까?
디못은 "아직 현실화되진 않았지만 누군가 원격으로 자동차를 조작해 운행되는 차량을 다리 밑으로 떨어지게 만드는 사건이 발생한다고 해도 현 상황을 볼 때 전혀 놀라지 않을 것"이라고 어느 정도 농담을 섞어가면서 말했다.

또한 디못은 "수많은 사람들은 그들이 자동차 혹은 산업 제어 시스템에 사용되는 코드의 양을 잘 이해하지 못한다. 이런 시스템에 대한 수많은 공격이 감행될지는 확실하지 않지만 이런 부분에 있어서 역사는 항상 반복해왔다"고 덧붙였다. editor@itworld.co.kr


X