2016.11.16

"청소로봇을 통해 집안을 엿보는 건 기본" 가정용 로봇, 얼마나 안전한가

John Brandon | CSO
불빛을 깜박거리고, 귀엽게 재잘거리기도 하며 정해진 시간에 거실 카펫을 청소하거나, 인공 지능을 이용해 아이들과 게임을 하기도 하는 가정용 로봇.



하지만 과연 이 로봇들이 해커의 공격으로부터 안전한 지에 대해 생각해 볼 필요가 있다. 라이브 웹캠 피드로 일상을 녹화하거나, 비보호 시그널에서 와이파이 정보를 탈취해 악성코드를 전송하는 것은 그다지 어려운 일이 아니다. 집안 곳곳을 청소하며 돌아다니는 작은 로봇이 범죄에 이용될 것이라 생각하는 사람은 별로 없다. 그리고 바로 그 점이 로봇을 보안 취약점으로 만든다.

얼스터 대학 컴퓨터 사이언스 수석 강사이자 IEEE 멤버인 케빈 커란은 "대부분 가정에서는 비밀번호를 거의 바꾸는 일이 없고, 또 알아내기 쉬운 비밀번호를 설정하기 때문에 범죄자들의 좋은 목표가 된다. 로봇을 이용해 중요한 정보를 추출해내거나 악성코드를 심기가 어렵지 않다"고 말했다.

커란은 "기업 환경에서도 로봇은 보안 인프라스트럭처에서 약점으로 인식되기 때문에 대부분 기업이 공격에 대비해 사설 '로봇 운영체제'를 가지고 있다"고 덧붙였다.

대부분 로봇, 보안 위협에 무방비
커란은 "로봇이 단순하고 무해해 보일 수도 있지만, 꼭 그렇지만은 않다"고 말했다. 다이슨(Dyson)과 아이로봇(iRobot)에서 출시된 최신 청소 로봇 같은 경우 비디오 카메라를 이용해 청소할 공간을 스캔하기도 하는데, 대부분 로봇은 업데이트나 패치가 제대로 되지 않아 거의 무방비 상태인 리눅스 커널을 이용한다.

때문에 사이버범죄자가 액세스하게 되면 내장형 웹캠으로 가정 내 모습을 촬영하기가 매우 쉽다.

커란은 "웹캠이 딸린 로봇을 무방비 상태로 출시하는 건 상당히 위험한 모험이다. 기업 IT 부서에서와 달리 일반 가정에서는 비밀번호 변경이나 보안 취약점 해결을 위한 시스템 업데이트의 중요성을 인지하지 못하는 경우가 많기 때문이다. 소비자 가전의 보안이 이렇게 허술할 경우 최악의 사생활 침해 범죄가 발생할 수 있다"고 설명했다.

클라우드 서버 보안업체 클라우드패시지(CloudPassage)의 공동창립자이자 CTO인 카슨 스윗 역시 로봇에 장착된 웹캠(그리고 마이크)이 사이버범죄자의 손에 악용될 수 있으며 이 경우 엄청난 사생활 침해 문제가 발생할 수 있음에 동의했다.

업데이트: 아이로봇은 처음에는 이 기사에 대한 답변을 거절했으나 기사가 나간 후 룸바(Roomba) 카메라는 스마트폰 앱과 커뮤니케이션 하는 와이파이와 완전히 분리된 별도의 하드웨어임을 설명했다. 때문에 해커가 카메라에 액세스하는 것은 불가능하다는 입장이다.

가정용 로봇에 대한 이런 우려가 지나친 걱정으로 보일 수도 있지만, 악성코드 보호업체 쓰렛스탑(ThreatSTOP) CEO 톰 번즈는 가정용 로봇 또는 기업 환경에서 사용하는 좀더 '전문적인' 로봇이 안전하다는 생각을 갖기가 너무 쉬운 점이 오히려 위협 요인이라고 지적한다.

번즈는 랜섬웨어와 관련한 해킹 시나리오를 일례로 제시했다. 네트워크에 액세스한 사이버범죄자는 비디오를 촬영하거나, 혹은 로봇을 점령한 뒤 자신이 확보한 자료나 통제권을 돌려주는 대가로 '몸값'을 요구할 수 있다.

특히 가격이 수천 달러에 달하는 로봇이라면 이는 그냥 무시하고 지나칠 수 없는 요구다. 뿐만 아니라, 벽에다 계속해서 몸을 부딪혀 벽을 망가뜨리라는 명령이나 로봇 디스플레이 상에 부적절한 영상을 재생하도록 하는 등 로봇을 장악한 후 말썽을 피우게 만들 수도 있다.

사전에 조치를 취해야 한다
가정이나 사무실에서 이용하는 사물인터넷 기기들이 흔히 그렇듯, 로봇 역시 자체적인 기기를 사용한다는 점이 문제다. 침투 테스팅을 의무적, 우선적으로 시행하는 경우도 많지 않다.

스윗은 "소비자들이 문제를 인식하고 이 점을 요구해야 한다. 제조업체가 기기를 강화하고, 운영체제 및 소프트웨어 취약점에 대한 패치를 내놓고, 관리 인터페이스 인증 절차를 강화하고, 보안 이벤트 데이터를 생성하도록 말이다"고 지적했다.

앞으로 가정용 로봇 사용이 늘어나고 그 의존도가 커질수록 이를 보안 취약점으로 인식하고 노리거나, 조직적으로 공격하는 해커들도 반드시 생겨날 것이라는 게 그의 생각이다. 대규모 공격이 있기 전에 미리 인증 절차를 강화해 두지 않으면 소 잃고 외양간 고치는 모양새가 될 수도 있다는 것이다.

번즈는 "사물인터넷의 가장 큰 문제점 가운데 하나는 기기에 대한 패치가 거의 이뤄지지 않고, 사용자들의 보안 인식 수준도 낮다는 것이다. 제조업체들 역시 저비용 대량생산 구조를 가지고 있기 때문에 보안 문제에 대해서는 크게 신경쓰지 않고 있다. 보안과 관련한 큰 사건이 터지면 그 때에 가서야 부랴부랴 보안을 강화하고 그 점을 셀링 포인트로 광고 하겠지만 그 때는 이미 많은 피해자가 발생한 후일 것이다"고 설명했다.

소비자 로봇 개발자들 입장에서는 자발적으로 보안 문제를 고려해야 할 동기가 전혀 없다. 그리고 여타 사물인터넷 및 가정용 기기를 개발할 때도 그랬지만 보안 취약점을 알아내기 위해 해커들을 고용해 침투 테스트를 시행하는 기업도 그렇게 많지 않다.

커란은 "주기적으로 취약점에 대한 보안 업데이트를 하는 것이 로봇 제조업체들이 마땅히 해야 할 일이지만, 사실 그렇게 할 동기가 거의 없는 게 사실이다. 때문에 이들이 로봇의 보안 취약점을 보완하도록 지속적인 압력이 가해져야 한다"고 주장했다.

소비자들의 보안 인식과 제조업체에 대한 지속적인 압력 행사만이 가정용 로봇의 보안을 강화할 수 있다. editor@itworld.co.kr


2016.11.16

"청소로봇을 통해 집안을 엿보는 건 기본" 가정용 로봇, 얼마나 안전한가

John Brandon | CSO
불빛을 깜박거리고, 귀엽게 재잘거리기도 하며 정해진 시간에 거실 카펫을 청소하거나, 인공 지능을 이용해 아이들과 게임을 하기도 하는 가정용 로봇.



하지만 과연 이 로봇들이 해커의 공격으로부터 안전한 지에 대해 생각해 볼 필요가 있다. 라이브 웹캠 피드로 일상을 녹화하거나, 비보호 시그널에서 와이파이 정보를 탈취해 악성코드를 전송하는 것은 그다지 어려운 일이 아니다. 집안 곳곳을 청소하며 돌아다니는 작은 로봇이 범죄에 이용될 것이라 생각하는 사람은 별로 없다. 그리고 바로 그 점이 로봇을 보안 취약점으로 만든다.

얼스터 대학 컴퓨터 사이언스 수석 강사이자 IEEE 멤버인 케빈 커란은 "대부분 가정에서는 비밀번호를 거의 바꾸는 일이 없고, 또 알아내기 쉬운 비밀번호를 설정하기 때문에 범죄자들의 좋은 목표가 된다. 로봇을 이용해 중요한 정보를 추출해내거나 악성코드를 심기가 어렵지 않다"고 말했다.

커란은 "기업 환경에서도 로봇은 보안 인프라스트럭처에서 약점으로 인식되기 때문에 대부분 기업이 공격에 대비해 사설 '로봇 운영체제'를 가지고 있다"고 덧붙였다.

대부분 로봇, 보안 위협에 무방비
커란은 "로봇이 단순하고 무해해 보일 수도 있지만, 꼭 그렇지만은 않다"고 말했다. 다이슨(Dyson)과 아이로봇(iRobot)에서 출시된 최신 청소 로봇 같은 경우 비디오 카메라를 이용해 청소할 공간을 스캔하기도 하는데, 대부분 로봇은 업데이트나 패치가 제대로 되지 않아 거의 무방비 상태인 리눅스 커널을 이용한다.

때문에 사이버범죄자가 액세스하게 되면 내장형 웹캠으로 가정 내 모습을 촬영하기가 매우 쉽다.

커란은 "웹캠이 딸린 로봇을 무방비 상태로 출시하는 건 상당히 위험한 모험이다. 기업 IT 부서에서와 달리 일반 가정에서는 비밀번호 변경이나 보안 취약점 해결을 위한 시스템 업데이트의 중요성을 인지하지 못하는 경우가 많기 때문이다. 소비자 가전의 보안이 이렇게 허술할 경우 최악의 사생활 침해 범죄가 발생할 수 있다"고 설명했다.

클라우드 서버 보안업체 클라우드패시지(CloudPassage)의 공동창립자이자 CTO인 카슨 스윗 역시 로봇에 장착된 웹캠(그리고 마이크)이 사이버범죄자의 손에 악용될 수 있으며 이 경우 엄청난 사생활 침해 문제가 발생할 수 있음에 동의했다.

업데이트: 아이로봇은 처음에는 이 기사에 대한 답변을 거절했으나 기사가 나간 후 룸바(Roomba) 카메라는 스마트폰 앱과 커뮤니케이션 하는 와이파이와 완전히 분리된 별도의 하드웨어임을 설명했다. 때문에 해커가 카메라에 액세스하는 것은 불가능하다는 입장이다.

가정용 로봇에 대한 이런 우려가 지나친 걱정으로 보일 수도 있지만, 악성코드 보호업체 쓰렛스탑(ThreatSTOP) CEO 톰 번즈는 가정용 로봇 또는 기업 환경에서 사용하는 좀더 '전문적인' 로봇이 안전하다는 생각을 갖기가 너무 쉬운 점이 오히려 위협 요인이라고 지적한다.

번즈는 랜섬웨어와 관련한 해킹 시나리오를 일례로 제시했다. 네트워크에 액세스한 사이버범죄자는 비디오를 촬영하거나, 혹은 로봇을 점령한 뒤 자신이 확보한 자료나 통제권을 돌려주는 대가로 '몸값'을 요구할 수 있다.

특히 가격이 수천 달러에 달하는 로봇이라면 이는 그냥 무시하고 지나칠 수 없는 요구다. 뿐만 아니라, 벽에다 계속해서 몸을 부딪혀 벽을 망가뜨리라는 명령이나 로봇 디스플레이 상에 부적절한 영상을 재생하도록 하는 등 로봇을 장악한 후 말썽을 피우게 만들 수도 있다.

사전에 조치를 취해야 한다
가정이나 사무실에서 이용하는 사물인터넷 기기들이 흔히 그렇듯, 로봇 역시 자체적인 기기를 사용한다는 점이 문제다. 침투 테스팅을 의무적, 우선적으로 시행하는 경우도 많지 않다.

스윗은 "소비자들이 문제를 인식하고 이 점을 요구해야 한다. 제조업체가 기기를 강화하고, 운영체제 및 소프트웨어 취약점에 대한 패치를 내놓고, 관리 인터페이스 인증 절차를 강화하고, 보안 이벤트 데이터를 생성하도록 말이다"고 지적했다.

앞으로 가정용 로봇 사용이 늘어나고 그 의존도가 커질수록 이를 보안 취약점으로 인식하고 노리거나, 조직적으로 공격하는 해커들도 반드시 생겨날 것이라는 게 그의 생각이다. 대규모 공격이 있기 전에 미리 인증 절차를 강화해 두지 않으면 소 잃고 외양간 고치는 모양새가 될 수도 있다는 것이다.

번즈는 "사물인터넷의 가장 큰 문제점 가운데 하나는 기기에 대한 패치가 거의 이뤄지지 않고, 사용자들의 보안 인식 수준도 낮다는 것이다. 제조업체들 역시 저비용 대량생산 구조를 가지고 있기 때문에 보안 문제에 대해서는 크게 신경쓰지 않고 있다. 보안과 관련한 큰 사건이 터지면 그 때에 가서야 부랴부랴 보안을 강화하고 그 점을 셀링 포인트로 광고 하겠지만 그 때는 이미 많은 피해자가 발생한 후일 것이다"고 설명했다.

소비자 로봇 개발자들 입장에서는 자발적으로 보안 문제를 고려해야 할 동기가 전혀 없다. 그리고 여타 사물인터넷 및 가정용 기기를 개발할 때도 그랬지만 보안 취약점을 알아내기 위해 해커들을 고용해 침투 테스트를 시행하는 기업도 그렇게 많지 않다.

커란은 "주기적으로 취약점에 대한 보안 업데이트를 하는 것이 로봇 제조업체들이 마땅히 해야 할 일이지만, 사실 그렇게 할 동기가 거의 없는 게 사실이다. 때문에 이들이 로봇의 보안 취약점을 보완하도록 지속적인 압력이 가해져야 한다"고 주장했다.

소비자들의 보안 인식과 제조업체에 대한 지속적인 압력 행사만이 가정용 로봇의 보안을 강화할 수 있다. editor@itworld.co.kr


X