IoT / 보안

사물인터넷의 구글인 쇼단, 취약점 노출로 인해 해커와 테러리스트의 놀이터가 되다

Maria Korolov | CSO 2015.01.16
쇼단(Shodan) 검색엔진을 이용하면 백도어가 노출된 라우터, 안전하지 못한 웹캠, 기본값 비밀번호를 사용하는 산업 제어 시스템 등을 찾을 수 있다.

쇼단은 사물인터넷을 위한 '구글'이자, 해커와 테러리스트의 놀이터이며, (어쩌면) 기업들이 자신의 환경을 잠글 때 유용하게 이용할 수 있는 툴이다.

쇼단의 창업자인 존 메테리는 5년 전, 기업들에게 제품이 사용되는 장소와 방법에 대한 정보를 제공하는 시장 정보 툴(Market intelligence tool)로 이 검색엔진을 발표했다.

메테리는 "물론 실증적 데이터를 이용, 경쟁 업체의 시장 포지셔닝을 더 잘 이해할 수 있는 정보를 질의해 얻을 수도 있다"고 설명했다.

그러나 발표 이후 이 검색엔진은 '스스로의 삶'을 살기 시작했다.

이에 대해 메테리는 "보안 전문가들이 인터넷을 더 잘 이해하는데 유용한 툴이 됐다"고 말했다.

공개 웹사이트는 쇼단이 검색할 수 있는 많은 것 가운데 일부에 불과하다. 기업 고객들은 수집하는 데이터 일체에 대한 실시간 액세스를 구입할 수 있다. 예를 들어, 쇼단을 이용해 기업 내부 네트워크를 검색할 수 있다.

메테리는 "대기업에는 도급업체나 협력업체가 제대로 설정하지 못한 상태에서 온라인에 연결된 자동화 시스템이나 텔넷이 실행되는 컴퓨터들이 있다. 게다가 클라우드 컴퓨팅이 증가하면서, 인증 체계가 없어 콘텐츠가 인터넷에 유출될 수 있는 클라우드 서버가 크게 증가하고 있다"고 말했다.

기업들은 또 쇼단을 이용해 함께 사업을 할 계획을 갖고 있거나, 인수를 하고자 하는 회사의 보안을 점검할 수도 있다.

그리고 범죄자들이 이용하는 악성코드 C&C 서버(Command and Control Server)를 발견할 수도 있다. 이 작업은 통상적으로 집중적인 시간 투자가 필요한 프로세스다. 메테리는 "그러나 쇼단을 이용하면 아주 쉽게 파악할 수 있다"고 설명했다.

미국 미네아폴리스에 본사를 둔 매니지드 보안 서비스 공급업체인 넷시큐리스(Netsecuris Inc.) 대표이자 CEO 레오나르드 제이콥스는 "쇼단이 위협이 된다고 생각하지는 않는다. 우리는 쇼단을 고객들에게 유용한 도구로 활용한다. 다른 기법을 통해 발견한 것을 확인하는데 쇼단을 이용하고 있다"고 말했다.

원칙적으로, 기업은 인터넷에 노출된 장치와 시스템을 전부 파악해야 한다. 그러나 편리함을 추구하느라 이런 원칙을 무시하는 경우가 있다. 제이콥스는 "실제 사례를 보면 놀랄 것이다"고 말했다.

쇼단, 악의 축?
공격자들 또한 쇼단을 통해 특정 장비나 특정 소프트웨어를 재빨리 발견할 수 있다.
캐나다의 보안 컨설팅 업체인 택티컬 인텔리전스(Tactical Intelligence Inc.)의 파트너 쉐인 맥두갈은 "예를 들어, 해커들은 전체 인터넷을 뒤지지 않아도, 쇼단에서 특정 시그내처를 찾아 웹에 연결된 모든 퍼비(Furby)를 재빨리 발견할 수 있다"고 말했다.

미국 산호세 소재 보안업체인 멜웨어바이츠(Malwarebytes Corp)의 연구원 진 타가트에 따르면, 사이버범죄자, 테러리스트, '악의 축' 국가, 심지어는 경쟁업체들이 쇼단을 이용해 핵심 인프라를 파악한 후 문제를 초래할 수 있는 것이다.

게다가 기업들이 이런 문제들을 바로잡는데 우선순위를 두지않는 경우가 적지 않다. 타카트는 "위험이 중대해지고 난 이후에야 행동에 들어갈까 걱정된다. 정부 주도 아래 이들 장비의 소유주를 파악하고, 안전하게 만드는데 초점이 맞춰질 필요가 있다"고 말했다.

쇼단을 이용할 경우, 해커들은 표적으로 삼은 회사의 경고 신호를 피할 수 있다.
미국 매릴랜드 콜롬비아 소재 탠저블 시큐리티(Tangible Security) R&D 부사장 마이클 보쿰은 "쇼단의 진짜 힘은 스캐닝이 이미 끝난 상태라는 것"이라고 말했다.

사용자는 표적으로 삼은 기업이나 조직에 자신의 주소나 행동을 노출시키지 않고도, 그리고 최소한의 노력으로 검색할 수 있는 것이다. 보쿰은 "쇼단의 규모를 조사하는데 아주 오랜 시간이 걸릴 것이다. 또 아주 큰 소동이 발생할 수 있다"고 말했다.

그러나 이스라엘의 사물인터넷 전문 보안업체인 산사 시큐리티(Sansa Security) CTO 하가이 바르엘은 쇼단이 취약점을 생성하는 것은 아니라고 말했다.

바르엘은 "쇼단은 단지 취약점을 알려줄 뿐이다. 물론 해킹 공격에서 취약한 노드를 감지하는 것이 중요하다는 점에는 이견이 있을 수 없다. 그러나 해커들은 쇼단이 개발되기 훨씬 이전부터 자동화된 크롤러(Crawlers)로 이를 수행할 수 있었다"고 말했다.

또한 대다수 보안 전문가들은 취약점을 발견하고 난 이후에는 이를 숨기기보다 공개하는 것이 낫다는 점에 동의했다.

바르엘은 "취약한 시스템을 이용하는 사람들은 이런 취약점을 알 권리를 갖고 있다"고 강조했다. 그래야만 취약한 시스템을 제공한 개발업체를 교체하는 등 조치를 취할 수 있기 때문이다.

바르엘은 "상용 제품에서 발견된 취약점을 공개하는 것은 개발업체들이 이를 고치도록 유도할 수 있는 효과적인 방법이 된다"고 덧붙였다. 또한 "개발업체들이 제품의 보안 문제를 몇 달 또는 몇 년 동안 무시했다가, 공개가 되고 난 이후에야 이를 바로잡았던 사례가 많았다. 사실 해결되지 않은 취약점은 시한폭탄이나 다름없다"고 덧붙였다.

쇼단의 메테리는 "범죄자들은 이미 가용한 툴들을 보유하고 있다"고 말했다. 쇼단 웹사이트는 사용자가 계정을 등록하도록 요구하고 있다. 또한 첫 검색만 무료다.

이 밖에도 악용을 방지할 많은 기술적 장치를 갖고 있다. 메테리는 "범죄자들에게 더 저렴하고 효과적인 방법은 쇼단 검색보다는 (오픈소스 네트워크 스캐닝 툴인) 지맵(zmap)이나 매스스캔(masscan)이 실행되는 감염된 호스트 또는 봇넷을 이용하는 것이다"고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.