IoT / 보안

“사물 인터넷을 위협하는” 랜섬웨어와 업계 대응 현황

Taylor Armeding | CSO 2016.02.29
랜섬웨어(Ransomware)는 온라인 세상에서 아주 친숙한 '역병'이다. 등장한 지 25년이 넘었으며, 최근 10년 동안 급증했다.

그러나 불과 얼마 전까지만 해도 소비자용 기기보다는 기업과 기관, 개인의 컴퓨터가 표적이 됐었다. 그런데 변화가 시작됐다. 2020년에는 2,000억 개의 기기가 연결되는 등 사물 인터넷 기기 증가에 따라서, 전문가들은 랜섬웨어가 일반 소비자 수준으로 퍼질 것으로 전망했다. 이 정도 규모의 취약한 공격 표면은 사이버 범죄의 표적이 될 수밖에 없다.

어쨌든 가장 최근 발생한 대형 사고는 대형 기업 및 기관과 관련이 있다. 가장 최근 사고 피해자 중 하나는 LA 소재 헐리우드 장로 병원(Hollywood Presbyterian Medical Center)이다. 이 병원은 일부 기기의 암호화된 파일에 악성코드를 설치한 해커들이 요구한 1만 7,000달러를 지급해야 했다.

심지어는 경찰도 피해자가 됐다. 통상 랜섬웨어 사건은 크지는 않지만, 결국엔 '몸값(Ransom)'을 지불하며 끝난다. 이것이 시사하는 점 하나가 있다. 이런 공격에 사용된 암호화가 전문가들조차 깰 수 없을 정도로 정교하다는 것이다.

일반 사용자를 대상으로 한 공격에서 개별 '몸값' 요구 횟수는 많지 않은 것으로 추정된다. 많은 ‘잠재적’ 피해자들이 범죄자들에게 상당한 대가를 지불 한다고 약속하기 때문이다.

일부 전문가들은 소비자 수준의 랜섬웨어가 급증, '생활비'의 일부가 될 수도 있다고 예상한다.

매일 아침 자동차에 시동을 걸고, 현관문이나 창문이 원격으로 잠기지 않게 하고, 전기 요금이 실제 사용량의 2배를 넘어서고, 가전제품이 고장 나고, TV가 스파이 카메라가 되지 않도록 디지털 범죄자에게 매달 20~100달러의 '몸값'을 지급하게 될 수도 있다고 내다보고 있는 것이다. 몸 안에 이식한 의료 기기에 문제가 생겨 생명에 위협을 받는 일이 없도록 몸값을 지불해야 하는 상황도 발생할 수 있다.

연결된 소비자 기기는 TV에서 자동차, 온라인 게임, 장난감, 총기류, 웨어러블 피트니스 트래커, 스마트 가전, 온도 조절기, 조명 기구, 벽에 설치된 스위치, 소파, 전동 칫솔, 모션 센서, 거라지(차고) 문, 가정용 CCTV, 유틸리티 모니터링 기기, 화재경보기, 이식형 의료 기기에 이르기까지 정말 다양하다. 사실상 모든 것을 연결할 수 있다.

사물 인터넷 확산과 랜섬웨어 감염 피해 증가
소셜-엔지니어(Social-Engineer)의 CHH(Chief Human Hacker) 겸 CEO인 크리스 하드나기는 "커피 머신 하나가 전체 네트워크를 감염시키는 세상을 상상해보라. 아니, 상상할 필요 없다. 이미 목격했다. 네트워크 구현 기기의 경우, 누구나 해킹을 통해 감염을 시키면, 그 기기를 원하는 방식으로 수정, 조정, 감시, 도청, 이용할 수 있다"고 말했다.

이런 경고에도 불구하고, 여전히 소비자 기기는 취약하다. 대부분은 기본적인 보안 체계가 없으며, 취약점을 발견해도, 이를 상시 손쉽게 업데이트 및 패치할 수 없다.

따라서 크게 보도되진 않지만, 소비자 기기의 감염과 랜섬웨어가 증가하고 있는 것으로 분석된다. FBI는 2014년 4월~2015년 6개월간 크립토월(CryptoWall)이라는 랜섬웨어 변종과 관련해 992건의 신고를 받았다는 내용을 골자로 하는 보도자료를 발표했다. 피해액은 총액 기준 1,800만 달러에 달한다.

상황은 더욱 악화될 전망이다. 사이퍼클라우드(CipherCloud)의 순다람 랜스크마난 기술 부사장은 "사물 인터넷 관련 침해 사고가 증가할 것으로 예상된다. 최근 출시된 기기들은 모두 인터넷에 연결된다. 제조 단계는 물론 제조 후 펌웨어 업데이트 등 언제 어느 때나 해킹이 발생할 수 있다"고 말했다.

금전적 손해와 데이터 피해 이상의 위험이 존재한다. CMSEI(Carnegie Mellon Software Engineering Institute) 산하 CERT 부서의 수석 취약점 애널리스트인 윌 도어맨은 "컴퓨터 데이터를 잃어버리는 것과 집이나 자동차에 안전상의 위험이 발생하는 것에는 큰 차이가 있다. 실제 세상과 관련성이 높은 연결된 기기의 경우 사람의 생명과 관련된 위험이 존재할 수 있다. 이는 훨씬 중대한 위험이다"고 강조했다.

미국 정보기관의 자문 위원 중 한 명인 인큐텔(In-Q-Tel)의 댄 기어 CISO는 더욱 불길한 전망을 제시했다. 그는 초기 사물 인터넷 공격의 주된 인센티브는 '돈'이지만, 장기적으로 센서 네트워크의 허위 정보, 이를 이용한 사물 침투와 이른바 '좀비 군대'에 대한 관심이 높아질 것이라고 내다봤다.

기어는 "오바마 1기 정부에서 60일간 실시된 '사이버공간 정책 평가(Cyberspace Policy Review)'에서 M 해서웨이가 언급했듯, 국가적으로 1차 표적은 글로벌 시장을 지배하는 기술 기업과 방위 산업 기반, 2차 표적은 1차 표적의 협력업체, 3차 표적은 2차 표적 공격의 플랫폼이 될 수 있는 기기이다"고 설명했다.

이는 법적으로도 '악몽' 같은 상황을 초래한다. 랜스크마난은 "연방 법으로는 자동차의 미등을 켜야 한다. 그러나 사물인터넷 해커가 고속도로에서 미등이 작동하지 못하도록 만들었다면, 누가 책임을 져야 할까?"고 물었다.

물론 쉽게 해킹까지 당한 보안 결함 때문에 제품 매출 감소 같은 시장 측면에서의 처벌을 받을 수도 있다.

그러나 도어맨은 스마트 기기를 구현할 때 보안에는 큰 관심을 기울이지 않고, 오직 기능과 가격에만 초점을 맞추는 소비자가 많은 것이 현실이라고 지적했다. 그는 "보안이 구매 결정 요소에서 빠지는 때가 많다"고 말했다.

암호화 부문의 권위자인 레질런트 시스템스(Rsilient Systems)의 브루스 슈나이어 CTO는 "사람들은 충분한 지식이 없어 이를 개의치 않고 있다"고 지적했다.

그러나 사이랜스(Cylance)의 잭 라니어 조사 담당 디렉터는 현실이 아주 부정적인 것만은 아니라고 말한다. 그는 "소비자 기기 중에는 사용자에게 피해를 초래할 수 있을 만한 데이터를 로컬 저장한 기기가 많지 않다. 또 해커가 악성 백도어 펌웨어로 조작하지 않았다면, 공장 기본값 재설정으로 문제를 해결할 수 있다"고 말했다.

안전을 위한 당근과 채찍
업체들 또한 안전한 개발 방식, 취약점 처리와 관련해 더 큰 역량을 획득해 나가고 있는 중이다.

또, 위협 증가에 대한 인식이 높아지면서, 보안 위험을 극복하려는 노력과 활동도 증가하는 추세다. BuildItSecure.ly, CSA(Cloud Security Alliance) 사물인터넷 워킹그룹, BSIMM, OWASP(Open Web Application Security Project)를 예로 들 수 있다.

BuildItSecure.ly에 참여했던 라니어는 "사물 인터넷 기기를 구성하는 다양한 구성요소, 지원 서비스, 취약점과 위협에 대해 파악하고, 업체와 고객에게 이들 제품과 플랫폼에 필요한 보안을 교육시키는데 목표를 두고 있다"고 말했다.

이달 초 IEEE CSD(Center for Secure Design)이 발표한 보고서인 '웨어핏: 웨어러블 피트니스 트래커의 보안 설계 분석(WearFit: Security Design Analysis of a Wearable Fitness Tracker)'는 웨어러블 산업이 해결해야 할 보안 취약점을 지적하고, 이들 기기에서의 보안 가이드라인을 제시했다.

시만텍의 브라이언 위튼 사물 인터넷 담당 수석 디렉터는 시만텍이 현장 업데이트 기능 등 사물 인터넷 기기 보안의 4대 초석 구현에 박차를 가하는 중이라고 강조했다. 그는 "기기를 업데이트할 수 없다면, 향후 기기가 공격을 받는 형태를 예측할 방법이 없다. 게다가 공격자들은 꽤 민첩하게 움직인다"고 말했다.

물론 현장 업데이트에도 위험이 따를 수 있다. 기어는 블랙햇(BlackHat) 기조연설에서 기기에 원격 관리 인터페이스가 탑재되어 있다면, 공격자는 여기에 초점을 맞출 것이다. 그리고 침입에 성공한 후, 해당 관리 기능을 이용해 장기간 통제권을 획득하게 될 것이다. 이때 사용자는 공격자가 침입한 사실을 모를 가능성이 크다"고 설명했다.

기어는 임베디드 시스템이 사람을 닮도록 만들어야 한다고 조언했다. 일정 시간이 지나면 작동을 멈춰, 교체하도록 만들어야 한다는 의미이다.

어쨌든 이는 더 나은 사물 인터넷 소비자 보안을 위한 '당근'들이다. 지원하고, 장려할 뿐이다. 미흡한 보안을 제재하지 않는다.

물론 사물 인터넷 소비자 기기의 보안 요건을 의무적으로 규제하는 법안이 없다. 또 UL(Underwriters Laboratories)처럼, 인터넷 관련 단체의 승인 체계조차 부족하다. 도어맨은 제품을 테스트 및 인증, 소비자가 아주 큰 문제가 발생하지 않을 것이라는 점을 어느 정도 확신해야 한다고 말했다.

그러나 '채찍'에 해당하는 인센티브도 서서히 발전하고 있다. FTC(Federal Trade Commission)는 1년 전 발표한 보고서에서 하원이 기존의 데이터 보안 시행 도구를 강화하고, 소비자에게 보안 침해가 일어난 때를 알리기 위해 튼튼하고, 유연하며, 기술적인 연방 규정을 통과시켜 달라고 부탁했다.

또 사물 인터넷 기기 개발사는 나중이 아니라 처음부터 기기에 보안 기능을 탑재 시켜야 하며, 제품 출시 전에 보안 방법을 테스트하는 절차가 수립되어야 한다고 강조했다.

이를 지키지 못하는 업체는 FTC의 표적이 될 수 있다. 이번 주, 대만의 컴퓨터 하드웨어 제조사인 에이수스는 가정용 라우터의 보안 결함이 수만 소비자의 홈 네트워크에 위험을 초래했다는 이유로 FTC가 제소한 사건을 합의했다.

사실 많은 가정용 라우터가 보안 문제로 악명 높다. FTC의 이번 조치는 추후 사상 처음 정부 차원의 제재가 있을 수 있음을 시사한다.

FTC 소비자 보호국 소속 자라드 브라운 변호사는 특정 법안이 없는 경우에도 기기에 보안 장치를 하지 않는 것은 불공정이나 기만에 속하기 때문에 FTC가 제재할 수 있다고 지적했다.

기어는 보안을 강화할 수 있는 몇몇 방안을 권고했다. 개발사에 문제가 발생해도 개발사나 제조사의 잘못이 아니라는 내용에 소비자가 동의하는 100페이지 분량의 EULA(End User License Agreements)를 대체하도록 엄격한 책임을 부과하는 방안이 여기에 포함된다.

그는 또 "독립적이면서 파괴적인 테스트가 도움이 될 수 있다. UL이후 실제 활용이 가능한 방법이며, 취리히(Zurich)나 장르(GenRe) 같은 유수 재보험사가 이와 관련해 유용한 '소동'을 만들고 있는 중이다"고 말했다.

라니어는 상황이 개선될 것으로 낙관하고 있다. 그는 기술 발전 속도를 계속 따라가는 것이 도전과제의 일부라고 언급했다. 현재 무수히 많은 회사가 인터넷에 연결된 화재 경보기, 온도 조절기, 심지어는 장난감을 생산하고 있다.

그는 "느리지만 확실히 변화가 진행되고 있다. 업체들은 더욱 안전한 개발 방식, 취약점 처리와 관련해 더 큰 역량을 획득해 나가고 있는 중이다"고 말했다.

위튼도 여기에 동의했다. 그는 "우리는 많은 기업들과 함께 고객들이 구매하려는 기기 및 시스템에 구현된 보안의 수준을 더욱 손쉽게 이해할 수 있도록 만들기 위해 노력하고 있다"고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.