2015.05.07

국제 해킹 대회 데프콘, ‘사물인터넷’ 보안 취약성에 초점

Lucian Constantin | IDG News Service

오는 8월 열리는 제 23회 데프콘 보안 컨퍼런스에서 해커들이 인터넷이 연결된 임베디드 기기를 시험대에 올릴 예정이다. 이전의 사물인터넷 보안 리뷰의 결과를 감안할 때, 많은 보안 결함이 드러날 것으로 보인다.

미국에서 가장 큰 해커 박람회인 데프콘은 올해 일명 ‘사물인터넷 빌리지(IoT Village)’이라는 행사를 주최한다. 사물인터넷 빌리지는 사물인터넷 기기를 대상으로 토론과 구축, 해체가 이뤄지는 특별 행사다.


사물인터넷 빌리지 공식 사이트는 “IP 연결이 가능한 임베디드 시스템이 얼마나 안전한지 혹은 얼마나 보안에 취약한지 보여주세요”라고 설명한다. “라우터, 네트워크 스토리지 시스템, 카메라, HVAC 시스템, 냉장고, 의료기기, 스마트 자동차, 스마트 홈 기술, TV, 이 모든 것이 IP에 연결된다면, 사물인터넷 빌리지의 관심사입니다.”

지난 해 ‘소호플리슬리 브로큰(SOHOpelessly Broken)’이라는 라우터 해킹 대회를 개최한 인디펜던트 시큐리티 이벨루에이터(Independent Security Evaluators, ISE)라는 기업이 사물인터넷 빌리지의 조직과 운영을 담당한다. 이 대회는 5개의 대중적인 무선 라우터 제품에서 총 15개의 보안 취약점을 밝혀냈다. 이 대회에서의 성공을 통해 ISE는 모든 사물인터넷 기기로 범위를 확장할 예정이다.

수상 자격을 얻기 위해서는 이전에 알려지지 않은 보안 취약성을 시중에 판매되는 인터넷 연결 기기에서 찾아내야 하며, 이 취약성에 대한 해당 익스플로잇을 증명해 보여야 한다. 대회에서 발견한 취약성을 발표하기 전에 피해를 입은 제조업체에 결함을 보고했다는 증거도 제시해야 한다. 이것은 참가하는 해커들이 발견한 결함을 대회 주최측에 미리 등록할 수 있다는 것을 뜻한다.

해당 업체가 대회 개최 이전에 보안 취약성에 대한 패치를 배포하더라도, 발견한 익스플로잇이 미리 조직 운영위원회에 등록되었다면 자격이 인정된다.

그 밖에 컨퍼런스 동안에 공개될 깜짝 대회와 ‘깃발 뺏기’ 모델을 응용한 별도의 대회도 예정돼 있다. 사물인터넷 빌리지는 이런 대회뿐 아니라 사물인터넷 기기 보안, 방어, 관리를 주제로 한 워크샵도 개최할 예정이다. editor@itworld.co.kr
 



2015.05.07

국제 해킹 대회 데프콘, ‘사물인터넷’ 보안 취약성에 초점

Lucian Constantin | IDG News Service

오는 8월 열리는 제 23회 데프콘 보안 컨퍼런스에서 해커들이 인터넷이 연결된 임베디드 기기를 시험대에 올릴 예정이다. 이전의 사물인터넷 보안 리뷰의 결과를 감안할 때, 많은 보안 결함이 드러날 것으로 보인다.

미국에서 가장 큰 해커 박람회인 데프콘은 올해 일명 ‘사물인터넷 빌리지(IoT Village)’이라는 행사를 주최한다. 사물인터넷 빌리지는 사물인터넷 기기를 대상으로 토론과 구축, 해체가 이뤄지는 특별 행사다.


사물인터넷 빌리지 공식 사이트는 “IP 연결이 가능한 임베디드 시스템이 얼마나 안전한지 혹은 얼마나 보안에 취약한지 보여주세요”라고 설명한다. “라우터, 네트워크 스토리지 시스템, 카메라, HVAC 시스템, 냉장고, 의료기기, 스마트 자동차, 스마트 홈 기술, TV, 이 모든 것이 IP에 연결된다면, 사물인터넷 빌리지의 관심사입니다.”

지난 해 ‘소호플리슬리 브로큰(SOHOpelessly Broken)’이라는 라우터 해킹 대회를 개최한 인디펜던트 시큐리티 이벨루에이터(Independent Security Evaluators, ISE)라는 기업이 사물인터넷 빌리지의 조직과 운영을 담당한다. 이 대회는 5개의 대중적인 무선 라우터 제품에서 총 15개의 보안 취약점을 밝혀냈다. 이 대회에서의 성공을 통해 ISE는 모든 사물인터넷 기기로 범위를 확장할 예정이다.

수상 자격을 얻기 위해서는 이전에 알려지지 않은 보안 취약성을 시중에 판매되는 인터넷 연결 기기에서 찾아내야 하며, 이 취약성에 대한 해당 익스플로잇을 증명해 보여야 한다. 대회에서 발견한 취약성을 발표하기 전에 피해를 입은 제조업체에 결함을 보고했다는 증거도 제시해야 한다. 이것은 참가하는 해커들이 발견한 결함을 대회 주최측에 미리 등록할 수 있다는 것을 뜻한다.

해당 업체가 대회 개최 이전에 보안 취약성에 대한 패치를 배포하더라도, 발견한 익스플로잇이 미리 조직 운영위원회에 등록되었다면 자격이 인정된다.

그 밖에 컨퍼런스 동안에 공개될 깜짝 대회와 ‘깃발 뺏기’ 모델을 응용한 별도의 대회도 예정돼 있다. 사물인터넷 빌리지는 이런 대회뿐 아니라 사물인터넷 기기 보안, 방어, 관리를 주제로 한 워크샵도 개최할 예정이다. editor@itworld.co.kr
 



X