지능화된 '악성코드', IoT 기기 위협한다
스마트TV 감염 신종 악성코드 등장…협박문 띄워 금전 요구
IoT 시대, 보안 취약점 노린 악성코드 재앙 우려
김언한 기자 (unhankim@ebn.co.kr)
 |
| ▲ ⓒ시스코 |
사물인터넷(IoT) 기기가 악성코드의 '쉬운 먹잇감'으로 이용되며 새로운 감염처로 떠올랐다. 공격자들은 IoT 기기 보안 취약점과 사용자들의 낮은 보안 의식을 노렸다. 2일 관련업계에 따르면, IoT 기기를 노린 악성코드가 활개를 치고 있다. 스마트TV, CCTV 등을 타깃으로 한 위협이 우려에서 현실로 나타났다. 올해 초부터 스마트TV는 해커들의 먹잇감이 됐다. 일본에서는 스마트TV의 화면을 정지시킨 뒤 협박문을 표시하는 신종 악성코드가 올해 300건 이상 검출됐다. 화면에 띄운 협박문을 통해 금전을 요구하는 랜섬웨어다. 응하지 않을 시 운영체제(OS)를 재설치해야하는 불편이 따른다. 스마트TV를 통한 개인 금융거래가 늘고 있다는 사실도 문제의 심각성으로 지적된다. 개인이 스마트TV를 쇼핑채널로 활용할 경우 신용카드 정보, 주민등록번호 등을 입력해야 한다. 해킹당할 경우 개인정보 노출 가능성을 배제할 수 없다. 스마트폰을 리모콘으로 사용할 수 있는 스마트TV의 기능 역시 또 다른 해킹 경로로 악용될 수 있다. 지난 10월 미국 동부를 마비시킨 대규모 디도스(DDos) 공격 역시 IoT 기기로 인해 촉발됐다. 해커는 중국의 CCTV 제작업체 항저우 슝마이테크놀로지가 제작한 CCTV를 관문으로 삼았다. 도메인 관리 기업 딘(Dyn)을 중심으로 아마존, 트위터, 넷플릭스 등 1200개에 달하는 인터넷 사이트가 2시간 동안 마비됐다. CCTV의 보안 취약점을 뚫고 진입했다. 이용된 악성코드는 '미라이(Mirai)'다. 최근 소스코드가 공개됨에 따라 후속 바이러스 개발에 속도가 붙을 가능성이 높다. 현재 전 세계에서 약 12만대의 디바이스가 미라이에 감염된 것으로 추정된다.해커들은 주로 IoT 기기를 대상으로 디도스 공격을 감행한다. 디도스는 여러 대의 공격자를 분산 배치한 후 정해진 대상을 집중 공격하는 방식이다.디도스 공격은 최대한 많은 기기를 확보하는 것이 중요하다. 간단한 해킹으로 다량의 좀비 기기를 확보할 수 있는 IoT 지원 제품이 최적의 표적이다. CCTV, 조명기기, 웹캠, 디지털TV 등 인터넷에 연결된 모든 제품이 좀비화된다. 현재까지 IoT 기기 보안은 해킹에 취약하다는 게 전문가들의 진단이다. IoT 기기는 PC나 모바일에 비해 기능이 단순함에 따라 경량·소형화 제품이 주를 이룬다. CPU(중앙처리장치), 메모리 등을 비롯한 하드웨어 성능이 제한된다. 이는 소프트웨어 관리 곤란 및 연산능력 제한으로 이어진다. 보안에 취약할 수밖에 없는 이유다. 시장조사기관 가트너에 따르면, 2020년까지 약 208억개의 사물(Things)이 인터넷에 연결된다. 정보를 수집하는 센서 가격 하락과 정보 처리 프로세스 고도화로 매일 약 550만개의 기기가 추가될 전망이다. 디도스 공격에 이용되면 대형 재앙으로 번질 수 있다.시만텍에 따르면, 우리나라는 IoT를 통한 디도스 공격을 많이 받는 국가 중 하나다. 지난해 전 세계에서 10번째로 많은 공격을 받은 것으로 조사됐다. 전체 공격 중 3% 비중을 차지했다. 해커들의 주요 타깃은 웹 서버, 라우터, 모뎀, 네트워크스토리지(NAS), CCTV, 산업용제어시스템(ICS)과 같은 non-PC 임베디드 기기다. 인터넷 접속은 가능하지만 운영체제(OS)와 처리 능력의 제한을 가진 기기들이 보안 위협에 그대로 노출돼있다는 지적이 나온다. 고도화된 보안 방어 능력을 갖추지 못했기 때문이다. 박희범 시만텍코리아 대표는 "이제는 IoT 임베디드 기기 개발 단계에서부터 보안을 고려해 초기 설정 시 관리자 패스워드를 강제로 재설정하도록 설계해야한다"며 "향후 취약점 발견에 대비해 펌웨어 패치 방안 등 보안 방안도 함께 고려돼야 한다"고 말했다. 포티넷은 IoT 기기 제조업체들이 보안에 실패할 경우 향후 디지털 경제에 막대한 영향을 미치게 될 것으로 내다봤다. 내년에는 적응형 학습(learning) 체계를 갖춘 '사람'처럼 설계된 악성코드가 등장할 것으로 예상됨에 따라 기기 제조업체들의 보안에 대한 책임이 필요하다는 진단이다.
