IoT / 보안

미라이 백신, 취약한 IoT 디바이스 보호…전염병 접근 방식 AntibIoTic 프로젝트

Steven Max Patterson | Network World 2017.08.29
지난 해 100만 대의 봇이 동원된 미라이 DDoS 공격이 일어나면서 정교하지 않고 제대로 보안도 되지 않은 IoT 디바이스의 위험성이 현실로 떠올랐다. 그리고 이들 디바이스의 많은 수가 여전히 위협으로 남아 있다.

보안 연구원들은 이 문제에 대한 원조 솔루션을 제시했다. 이들 디바이스의 취약점을 이용해 디바이스를 보호하는 화이트 웜(White Worm)을 주입하는 것이다. 전염병학의 접근 방식으로, 약한 질병에 면역 체계를 노출해 백신으로 면역을 키우는 것이다.



이들 디바이스가 여전히 위협으로 남아 있는 이유는 일부 디바이스는 하드코딩된 백도어 때문에 수정할 수 없기 때문이다. 어떤 제품은 소프트웨어 업데이트 메커니즘 자체가 없어서 소프트웨어나 펌웨어의 취약점을 수정할 수 없다.

덴마크 기술대학과 스웨덴 오레브로 대학, 러시아 이노폴리스 대학의 연구팀은 미라이 웜과 그 C&C 시스템의 소스코드를 연구해 이런 예상치 못한 아이디어를 보고서로 제시했다. 미라이 소스코드는 처음 해크포럼에 발표된 이후 현재는 깃허브에도 올라와 있다.

소스 코드가 공개된 후 업계 전문가들은 이를 이용한 사이버 범죄자가 증가하지 않을까 우려하기도 했다. 하지만 반면에 소스 코드가 공개됐기 때문에 이를 막을 수 있는 화이트 웜도 만들 수 있었다.

새로운 접근 방법은 이들 IoT 디바이스가 안고 있는 위험성을 완화할 방법이 별로 없다는 점에서 설득력이 있다. 출시 일정에 쫓기는 개발자는 항상 컴퓨터 공학 보안 교과서에 나오는 대로 보안 기능을 만들지 않는다. 이 때문에 수십만 대의 디바이스가 보호 받지 못하는 상태로 방치되는 것이다.

AntibIoTic란 이름의 화이트 웜 프로젝트는 미라이 봇 설계를 이용해 보안이 약한 디바이스에 대한 액세스와 제어권을 확보하고, 여기에 항생물질(antibiotic)에 해당하는 코드를 주입한다. AntibIoTic은 미라이 악성코드의 효율적인 확산 역량을 적극 이용하는 것이다. 일단 제어권을 확보하면, 화이트 웜은 디바이스 소유자에게 알려주거나 인증서를 바꾸거나 소프트웨어 패치, 펌풰어 업데이트 등 소유자의 도움을 통해 문제를 해결하려고 시도한다. ISP나 통신업체들이 막으려고 선제적인 조처를 하는 악성 미라이와는 달리 AntibIoTic은 제어권을 확보한 이후 악의적인 행동을 하지 않기 때문에 탐지되지 않는다.

AntibIoTic의 주요 기능은 다음과 같다.

취약한 디바이스 관련 정보 수집 및 공개. 보안 연구원과 디바이스 제조업체 등 관련자는 누구라도 공개 웹사이트에 게재된 이들 위험 디바이스에 관한 데이터를 분석할 수 있다. 이 기능은 조기 경보 시스템 역할을 하는데, IoT 디바이스를 모니터링해 특정 제품군이 감염되었다는 것을 디바이스 제조업체에 알려준다.

크라우드 소싱 방식의 기여. AntibIoTic 제작자는 다양한 범위의 권한을 가진 인터랙티브 인터페이스를 특정해 다른 보안 연구원이 AntibIoTic에 기여할 수 있도록 했다. 보안 애널리스트나 제조업체의 참여를 기대할 수 있는데, 특히 IoT 제조업체는 전세계에 설치되어 자체적으로는 손 볼 수 없는 제품이 보안 결점으로 리콜이나 홍보 실패 등을 겪지 않도록 미리 대비할 수 있다.

감염 디바이스 정화. 일단 AntibIoTic이 취약한 디바이스의 통제권을 확보하면, 더 이상의 침입을 방지하기 위해 패치를 적용하거나 이미 설치된 악성 코드를 제거할 수 있다.

디바이스 소유자에게 알림. 디바이스를 정화한 후 AntibIoTic 웜은 디바이스 소유자에게 취약점을 알려준다. 이는 디바이스 소유자의 보안 경각심을 높이는 역할을 한다.

취약한 디바이스 보호. 디바이스 소유자에게 경보를 보낸 후에도 취약점이 해결되지 않으면, AntibIoTic이 관리자 인증서를 변경하거나 펌웨어를 업데이트하는 등 보안 조처를 한다.

재기동으로 인한 AntibIoTic 제거 방지. 만약 디바이스가 재기동되면 AntibIoTic은 디바이스가 정상 동작해 인터넷에 나타나면 재감염시킨다. AntibIoTicㄹ은 시작 설정을 변경해 대상 시스템에 영구적으로 존재한다.

한편 이번 보고서는 BrickerBot이란 프로젝트도 설명했는데, 이는 삼성이 갤럭시 노트 7의 발화를 방지하기 위해 사용한 방법이다. 이 방식은 문제의 디바이스를 이른바 ‘벽돌’로 만드는 것으로, IoT 악성코드가 심각한 피해를 일으킬 때 적용할 수 있다.

AntibIoTic은 디바이스 소유자의 명시적인 동의없이 제삼자가 특정 디바이스에 침입하는 방식이기 때문에 법적으로도 윤리적으로도 경계선 상에 있다. 몇몇 국가에서는 이런 방식은 불법이며, 고발 대상이다. 다른 한편으로 자신이 소유한 디바이스를 제대로 보호하지 못해 제삼자에게 피해를 주는 것은 소유자의 법 위반이 될 수 있다.

제작자들은 이 문제를 자유와 보안 논쟁의 확장판으로 보고 있지만, 법적인 문제를 면밀하게 검토하지는 않았다. 이 문제는 법률 전문가와의 협업이 필요할 것으로 보인다. 다만 전염병 예방의 관점에서 본다면, 무리의 건강은 법적 윤리적 침해보다 중요할 것이다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.