“보안 위해 설치한 가정용 CCTV로 사생활이 중계된다?”
상태바
“보안 위해 설치한 가정용 CCTV로 사생활이 중계된다?”
  • 김선애 기자
  • 승인 2015.06.01 15:56
  • 댓글 0
이 기사를 공유합니다

대니얼 마이슬러 HP 포티파이 매니저 “보안 카메라 앱 취약점 다수…IoT 보호 위해 시큐어코딩 필수”

일상적으로 사용되는 디지털 기기에 내장된 카메라를 통해 자신의 일상생활이 해커에게 생중계된다면 어떨까? 예를 들어 스마트TV를 통해 TV 앞에서 벌어지는 모든 상황이 공격자에게 전송되는 상황이 있을 수 있다. 보안을 위해 설치한 가정 내 네트워크 카메라에 녹화되는 내용을 다른 사람이 가로챌 수도 있다

대니얼 마이슬러(Daniel Miessler) HP 포티파이 온 디맨드 리서치팀 매니저는 HP에서 공개한 ‘2014 사물인터넷 보고서’를 언급하면서 사물인터넷(IoT) 환경의 심각한 보안 취약점 중 하나로 사생활 침해 문제를 들었다.

이 보고서는 HP가 지난해 가장 많이 사용하는 보안카메라 10종에 대한 보안취약점을 조사한 결과로, HP는 간단한 해킹 수법으로 보안카메라 앱을 해킹해 마음대로 조종할 수 있다는 사실을 증명했다.

마이슬러 매니저는 “HP 분석팀은 해당 카메라에 대한 어떠한 정보도 갖지 않은 상태에서 보안카메라에 접속해 사용자 ID와 비밀번호를 탈취해 원격에서 제어할 수 있었다. 실제 상황이었다면 공격자들이 집안을 그대로 들여다 볼 수 있다는 뜻”이라며 “사물인터넷 환경의 보안 문제는 매우 심각한 상황”이라고 말했다.

보안 고려하지 않은 앱 악용 공격 늘어

HP는 IoT 보안을 위해 네트워크 보안 솔루션 ‘티핑포인트’와, 내부 시스템을 모니터링하는 SIEM 솔루션 ‘아크사이트’, 그리고 데이터를 보호하는 ‘아탈라’ 제품군, 그리고 애플리케이션을 보호하는 ‘포티파이’ 제품군을 제안한다. 이 중 포티파이는 IoT 보안의 핵심적인 요소 중 하나로 꼽고 있는데, 보안을 고려하지 않고 개발한 애플리케이션을 이용해 공격자들이 쉽게 네트워크로 침투할 수 있기 때문이다.

마이슬러 매니저는 “대부분의 애플리케이션이 공격에 취약하며, 특히 클라우드에 기반을 둔 웹 애플리케이션 취약점이 매우 많다. 서비스 공급업체들은 보안을 고려하지 않고 서비스를 개발하고 있으며, 사용자들은 ID/PW 관리를 철저히 하지 않아 쉽게 공격에 노출된다”며 “보안을 고려해 애플리케이션을 개발하면 공격자의 해킹 성공률을 크게 낮출 수 있어 안전한 IoT 환경을 만들 수 있다”고 말했다.

그는 “특히 IoT 보안을 위한 시큐어코딩은 클라우드로 이용할 때 가격 대비 효과가 크다. IoT 단말이나 앱을 제작하는 기업이 영세한 규모로 비싼 시큐어코딩 솔루션을 구입하기 어렵다. 클라우드 기반으로 사용량 만큼 지급하는 포티파이 온디맨드는 초기 구축비용 없이 사용한 만큼 과금하기 때문에 예산이 부족한 소규모 개발사들도 부담없이 사용할 수 있다. IoT 환경의 유연성과 보안성을 위해서는 반드시 필요한 서비스”라고 말했다.

디지털 기기 많이 사용하는 한국, IoT 공격 취약해

마이슬러 매니저는 IoT 환경에서는 국경을 넘나들면 공격이 일어난다는 점을 강조하면서 한국에서도 IoT 보안에 많은 관심을 기울여야 할 것이라고 강조했다. 또한 우리나라는 대용량·초고속 인터넷이 발달해있어 공격효과가 크다고 설명했다.

우리나라는 네트워크 속도도 빠르지만, 네트워크에 연결된 기기를 일상생활에서 많이 사용하기 때문에 직접 현금화 할 수 있는 개인정보·금융정보·사생활 정보 등을 쉽게 탈취할 수 있다. 특히 기존에 유출된 개인정보와 결합시키면 더욱 정교한 고급 개인정보를 완성할 수 있어 추가 공격도 가능하다.

마이슬러 매니저는 “공격이 지능화되고 정교해지면서 애플리케이션 취약점을 교묘하게 악용하는 사레가 빠르게 늘고 있다. 한국은 스마트폰 사용자를 포함해 네트워크 기기 사용률이 높고 얼리어댑터가 많아 공격에 더욱 취약한 상황”이라며 “애플리케이션을 개발하는 도중이나 개발 완료한 후 배포하기 전 보안 취약점을 제거해야 지능형 공격으로부터 사용자의 정보와 시스템을 보호할 수 있다”고 주장했다.

SW 악용 여지 차단해 공격 가능성 낮춰야

한편 HP는 빠르고 편리한 앱 보안을 위해 무료 서비스 ‘HP 포티파이 리스커(Risker)’도 출시했다. 모바일 애플리케이션 바이너리를 포티파이에 업로드하면 바이너리를 빠르게 점검해 위험여부를 판정해준다. 모바일 앱이 개인정보에 불필요하게 접근하는지, 외부로부터 파일을 내려받는지 등을 분석해 공격을 차단하는 기술이 적용된다.

또한 앱에 접속하는 사람의 행동을 분석해 공격을 인지하고 스스로 방어하는 ‘애플리케이션 디펜더 서비스’도 소개했다. 이 제품은 데이터가 앱에 들어온 후 어떻게 행동하는지 살펴본 후 공격인지 아닌지 판단한다.

마이슬러 매니저는 “포티파이 제품군은 공격을 차단하는 것이 아니라 소프트웨어를 악용할 수 있는 여지를 차단해 안전하게 운영할 수 있도록 한다”며 “특히 최근 모바일 앱 취약점을 악용한 공격이 성행하고 있어 이러한 공격이 일어날 가능성을 애초에 차단시키는 것이 중요하다”고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.