IoT 보안 취약점 점검 쉬워졌다

사물인터넷(IoT) 소프트웨어(SW)와 하드웨어(HW) 보안 취약점을 손쉽게 점검하는 길이 열렸다. IoT 기기를 개발하고 보안 점검하는 기업에 도움 줄 전망이다.

고려대 소프트웨어보안 국제공동연구센터(센터장 이희조)는 IoT 보안 취약점을 자동 분석하는 플랫폼 `IoT큐브`를 개발 시범서비스를 시작했다. 한국인터넷진흥원도 최근 경기도 성남시 IoT혁신센터에 보안 테스트베드 구축을 마치고 서비스에 들어갔다.

IoT 기기가 늘어나지만 보안 취약점을 제대로 점검하지 않고 서비스되는 경우가 많다. 최근 해커는 IoT 기기를 활용해 사이버 공격을 은밀히 진행한다. 지난달 보안기업 수쿠리는 2만500여대 CCTV로 구성된 대규모 봇넷을 발견했다. CCTV는 대표 사물인터넷기기다. 해당 봇넷은 초당 3만5000건에서 5만건의 HTTP 요청을 생성했다. 대규모 분산서비스거부(DDoS) 공격이다. 2014년 국내서도 무선인터넷 공유기가 악성코드에 감염돼 주요 통신사 가입자망을 마비시킨 공격이 발생했다.

IoT 기기를 보다 손쉽게 보안 점검할 수 있는 길이 열렸다.ⓒ게티이미지뱅크
IoT 기기를 보다 손쉽게 보안 점검할 수 있는 길이 열렸다.ⓒ게티이미지뱅크

IoT 기기를 노린 해킹은 증가했지만 보안은 여전히 취약하다. IoT SW나 HW는 고도의 보안 솔루션을 도입하기 어렵다. 외부 해킹 사실을 확인하기도 힘들고 복잡한 네트워크 구조로 침투 경로가 다양하다. 간단한 통신 기능만 하는 HW는 개별 보안 솔루션 구동이 불가능하다. 해커에 노출된 IoT 단말기를 실시간으로 파악하는 보안 솔루션은 보편화되지 않았다.

IoT 큐브 서비스(자료:고려대 SW보안 국제공동연구센터)
IoT 큐브 서비스(자료:고려대 SW보안 국제공동연구센터)

고려대 SW보안 국제공동연구센터는 언제 어디서나 IoT SW와 HW 보안성을 점검하는 서비스를 시작했다. IoT큐브는 △블랙박스 △화이트박스 △네트워크 테스팅 세 가지로 구분된 플랫폼이다. 테스트하려는 IoT SW나 HW를 연결해 패치가 안 된 코드를 자동 검색할 수 있다. IoT큐브는 상태기반 스마트 퍼징 툴과 SSL 취약점 존재여부 검색 등 기능이 들어있다. 고려대 주도 하에 카네기멜론대와 옥스퍼드대, 취리히 국립공과대학, 한국인터넷진흥원 등 국내외 보안전문가가 IoT큐브 개발에 참여했다. 이희조 센터장은 “IoT큐브는 세계 어디서 언제든지 IoT 취약점을 다각적으로 분석하는 서비스가 될 것”이라고 설명했다.

IoT 보안 테스트베드 구성(자료:KISA)
IoT 보안 테스트베드 구성(자료:KISA)

한국인터넷진흥원은 IoT 제품과 서비스 개발 단계부터 보안을 내재화하는 프로그램을 진행한다. IoT 스타트업과 중소기업, 대학, 개인 개발자 등이 IoT 제품 보안 수준을 자체 검증하고 보완할 수 있는 `IoT 보안 테스트베드`를 만들고 운영을 시작했다.

IoT 보안 테스트베드는 △펌웨어 분석과 획득 △부채널 분석 △근거리 통신 프로토콜 취약점 분석 △서비스솔루션 취약점 분석 4개 영역으로 구성됐다. 테스트베드는 스마트TV와 냉장고, 에어컨 등 가전 제품군 보안 위협 테스트 장비를 갖췄다. 이 외에도 스마트 에너지 제품군 보안 위협 시험과 습도, 조도, 대기압, 자이로, 가속도, IR리모트 센터 등 취약점을 분석할 수 있다.

김인순 보안 전문기자 insoon@etnews.com