본문 바로가기

KISA 인터넷 보호나라&KrCERT

닫기

KISA 인터넷 보호나라&KrCERT

ENG

닫기

카드뉴스

홈 사이버위협 카드뉴스

우리집 IoT를 둘러싼 보안 위협

2023-12-28

우리집 IoT를 둘러싼 보안 위협

IoT(사물인터넷, Internet of Things)라는 용어를 들었을 때 가장 먼저 어떤것이 떠오르시나요? 첨단 기술, 편리함, AI 활용 등으로 요즘의 IoT를 표현할 수 있을 텐데요. 그중에서도 최근 IoT를 활용한 스마트홈 서비스의 광고에서는 사람을 향한 모습들을 통해 우리 일상 깊은 곳에 자리잡으려 하고 있습니다. 불과 몇 년 까지도 SF 영화의 한 장면 혹은 미래라고 여겨지던 광경이 단숨에 현실로 다가왔습니다.

일상 속 IoT를 둘러싼 보안위협은 어떤 것 들이 있을까요? 늘 염두에 두고 예방하세요! 우리의 일상에 IoT 기반의 제품이 보급될 수록 누릴 수 있는 편리함은 늘어갈 것입니다. 하지만, 그 이면에 존재하는 IoT 보안 위협도 현실이며, 늘 염두에 두고 예방해야 합니다.

IoT 제품 유형별 주요 보안 위협. 스마트 TV, 냉장고(PC 환경에서 모든 악용 행위 카메라/마이크 내장 시, 사생활 침해) / 홈캠, 네트워크 카메라(사진 및 동영상을 공격자의 서버 및 이메일로 전송, 네트워크에 연결된 홈캠 등을 원격으로 제어하여 임의 촬영 등 사생활 침해) / 청소기, 인공지능 로봇(알려진 운영체제 취약점 및 인터넷 기반 해킹 위협, 로봇청소기에 내장된 카메라를 통해 사용자 집 모니터링) / 모바일 앱(웹)(앱 소스코드 노출로 IoT제품 제어기능 탈취) / 디지털 도어락, 가스벨브(제어기능 탈취로 도어락의 임의 개폐) / 온/습도 센서(잘못된 또는 변조된 센서 정보 전송)

IoT 취약점은 실생활과 밀접하여 사생활 침해 가능성이 있어요! 사례 1 인세캠(Insecam) 사이트. 전 세계 약 7만 3천여 대의 IP 카메라 해킹되어 '인세캠(Insecam)'이라는 사이트를 통해 생중계. 해킹대상 : 공장 출고 당시 설정된 아이디와 비밀번호를 바꾸지 않은 IP 카메라 *한국에서는 약 6000여개의 IP 카메라가 해킹. 해킹범위 : 가정집, 공연장, 사무실, 공장, 슈퍼마켓, 미용실, 헬스클럽, 수영장, 카페, 피부 관리실 등이 공개. 사이트에는 IP 카메라가 설치된 위도와 경도가 나와 있고 구글 지도를 이용해 해당 위치를 추적할 수 있었던 큰 사건!

IoT 취약점은 실생활과 밀접하여 사생활 침해 가능성이 있어요! 사례 2 도로 위 스마트폰, 자동차 해킹. 독일의 10대 소년이 테슬라 전기차 25대를 해킹한 사건. 뉴욕포스트의 보도에 따르면 이 소년은 키가 없이 원격으로 시동을 걸고, 차량 문과 창문을 강제로 여는 수준의 해킹에 성공. *커넥티드카(Connected Car·IT 기술과 자동차를 연결시켜 양방향 소통이 가능한 차량)에 대한 해킹은 이번이 처음이 아니다. 2020년 화이트해커(보안전문가)가 실험을 위해 테슬라 모델X의 보안시스템을 2분 30초만에 해제. 2016년 닛산의 전기차 리프가 원격으로 시동이 걸리고 주행 정보가 빠져나가는 해킹에 취약하다는 점이 밝혀짐. 2015년 지프는 해킹을 통한 원격조정 가능성을 이유로 체로키 140만대를 리콜

IoT 취약점은 실생활과 밀접하여 사생활 침해 가능성이 있어요! 사례 3 스마트 TV, 안방 다 옅본다. BGR 등 주요 IT외신들은 최근 한 보안업체가 제작한 '스마트TV' 해킹 동영상을 공개하며, 남 몰래 내 사생활을 찍고, 이를 유출할 수 있다는 섬뜩한 경고를 제기. *해킹 동영상 : 텔해커가 원격으로 스마트TV에 접속해 내부의 모든 데이터를 검색, 조작하고, TV 기능을 완벽히 제어하는 동영상. 해킹방법 : 인터넷에 연결된 스마트TV에 접근, 악성소프트웨어를 설치 그 후 저장된 모든 파일을 검색하고 TV의 각종 기능을 작동. 공격수법 : '제로데이 버그'로 알려진 공격수법. 리눅스 운영체제와 펌웨어를 사용하는 스마트TV에 존재하는 보안 취약점을 사용, 제로데이는 원격으로 상대방 PC를 공격할 수 있는 버그로, 주로 중국 해커들이 사용

사물인터넷 분야별 보안 위협 시나리오. 스마트TV(TV에 탑재된 카메라 해킹), 로봇청소기(탑재된 카메라로 시간 모니터링), 공유기(악성코드 넣어 디도스 공격 창구활용), 교통(센서로 가장해 교통관리시스템에 위조 데이터 전송), 스마트카(브레이크조작, 방향설정, 경보장치 해제), 의료기기(인슐린 펌프 조작으로 치명적인 복용량 주입). 이 밖에도, 공격자들의 단골 공격 수단인 랜섬웨어가 커넥티드카, 웨어러블, 의료 기기 등의 스마트 기기를 악용하면 그 피해 규모와 범위는 상상을 초월할 것으로 예상됩니다.

사용자가 직접 실천할 수 있는 조치 방법 1. 패스워드 설정. 대부분의 IoT 디바이스 사용자는 패스워드를 출고 당시 기본 패스워드 그대로 사용하거나, 안전하지 않은 패스워드를 사용하는 등 패스워드 설정 미흡으로 정보 유출이 일어나곤 합니다. 그러므로 초기 패스워드를 주기적으로 변경하고 추측이 어려운 비밀번호를 설정하여야 합니다.

사용자가 직접 실천할 수 있는 조치 방법 2. 암호화 설정. IoT 디바이스 통신에 암호화를 이용하지 않거나, 취약한 암호 방식을 사용할 경우, 공격자는 디바이스에 접근하여 사용자의 특정 정보를 탈취할 수 있습니다. 이와 같은 보안 위협을 방지하기 위해서 IoT 디바이스 간 송/수신하는 데이터의 암호화가 필요합니다. 때문에 안정성을 보장하는 보안 통신 프로토콜인 HTTPS 기반 보안 설정이 가능한 제품 이용을 권장하며 IoT 기기를 통해 수집된 개인정보 전송 시 보안 프로토콜을 적용하여 전송하는지 확인합니다.

사용자가 직접 실천할 수 있는 조치 방법 3. 접근제어 설정 - IP/MAC 주소 인증. 보안위협을 방지하기 위하여 인가된 사용자인지 확인하고, 비인가자의 위협에 대응할 수 있도록 ID, 패스워드 외에 IP나 MAC 주소 필터링 등의 다양한 인증 수단을 이용하는 IoT 디바이스인지 체크합니다.

사용자가 직접 실천할 수 있는 조치 방법 4. 펌웨어 업데이트. 알려진 취약점으로 인한 악성코드 감염, 정보 유출 등을 방지하기 위해서 제조사에서 취약점을 해결한 버전을 배포하였는지 보안 공지 내용을 확인하는 등 펌웨어를 최신 버전으로 유지할 수 있도록 해야합니다.

사용자가 직접 실천할 수 있는 조치 방법 5. IoT 보안 취약점 신고. 한국인터넷진흥원(KISA)가 운영하는 IoT 침해사고 예방을 위한 버그바운티(신고포상제)의 일환으로, 실생활에서 사용되는 IoT 디바이스에 영향을 줄 수 있는 신규 보안취약점을 신고하여 조치를 요청할 수 있습니다.

공유하기

닫기

체크되지 않은 항목이 있습니다. 모든 설문을 체크한 후에 제출버튼을 눌러주세요.

제출완료되었습니다.
참여해주셔서 감사합니다.

설문 기간 마감 안내

상단으로