IoT / 보안

“사물 인터넷, 수많은 취약점 있다”

Lucian Constantin | IDG News Service 2014.07.31
현재 인기 있는 10여 개의 사물 인터넷 기기가 보안 감사 결과, 놀라울 정도로 많은 취약점이 노출되어 보안에 빨간불이 켜졌다.

HP의 보안 연구팀은 TV, 웹캠, 가정 온도계, 출입문 자물쇠, 스프링클러 제어기 등 현재 가장 널리 쓰이는 사물 인터넷 기기 10여 개를 선정, 3주에 걸쳐 조사를 진행했다.

조사에서는 이 기기들의 제품명을 밝히지 않았으나, HP는 이들이 클라우드 서비스에 연동되어 있으며 사용자가 이를 원격에서 제어할 수 있는 모바일 애플리케이션 또한 구비하고 있다고 밝혔다.

HP 연구팀은 이들 기기에서 프라이버시 침해의 소지가 있는 문제에서 시작해 암호화된 데이터 전송의 결핍, 관리자 웹 인터페이스의 취약점이나 안전하지 않은 펌웨어 업데이트 방식, 그리고 접속 인증 데이터의 무방비한 노출처럼 심각한 문제까지 총 250개의 취약점을 발견했다고 밝혔다.

HP 연구팀은 보고서에서 “UI를 제공하는 10개의 기기 가운데 6개에서 교차 사이트 스크립팅, 부실한 인증데이터 등의 문제가 발견됐다” 고 설명했다.

7개의 기기가 암호화되지 않는 네트워크 서비스를 사용하고 있어 클라우드 서비스나 모바일 앱과 연결하는 도중 ‘중간자 공격(Man In The Middle, MITM)’의 위험에 노출돼 있었고, 8개의 기기가 사용자에게 충분히 길고 복잡한 비밀번호를 강제하지 않는 것으로 드러났다. HP 연구팀은 1234나 123456과 같은 쉬운 비밀번호로도 대부분의 기기 계정을 열람할 수 있었으며 기기뿐만 아니라 여기에 연결된 클라우드 서비스나 모바일 앱 계정 또한 같은 비밀번호를 사용하고 있었다고 설명했다.

연구팀은 보고서에서 “공격자는 취약한 비밀번호나 안전하지 않는 비밀번호 찾기 방식 등을 통해 기기 계정에 침입할 수 있다”고 강조했다.

6개의 기기에서도 데이터 전송 시 암호화가 충분히 이뤄지지 않는다는 것이 밝혀졌다. 또한 여기에 더해, 업데이트 파일 자체도 전혀 보호되고 있지 않았으며, 이는 자칫하면 공격자가 도중에 데이터를 가로채거나 조작할 수 있는 위험이 있다.

HP 연구팀은 “사물 인터넷 기기 제조업체들은 오픈소스 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project, OWASP)가 공개한 ‘10대 웹 애플리케이션 취약점’을 참고해 제품 보안 분석을 실시해야 한다”고 촉구했다. 이어, “이 조사에서 드러난 취약점들은 사용자를 불편하게 하지 않고도 손쉽게 해결할 수 있는 문제”라고 덧붙였다.

올해 들어 가정에서 쓰이는 라우터나 NAS 스토리지 기기, DVR 및 다른 임베디드 시스템에 대한 공격이 다수 보고됐다. 이는 즉 공격자들이 사물 인터넷의 취약점을 파악해 이를 악용할 수 있는 방법을 찾고 있다는 의미라고 할 수 있다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.