보안에 취약한 사물인터넷(IoT) 기기와 랜섬웨어가 결합한 공격이 다가온다.
SANS 연구소는 15일(현지시간) 미국 샌프란시스코에서 열린 RSA콘퍼런스 2017에서 IoT 기기를 노린 랜섬웨어 공격, 산업제어시스템(ICS) 침해사고 등 향후 발생할 7대 사이버 위협을 발표했다.
세계가 랜섬웨어에 몸살을 앓는다. 랜섬웨어는 비트코인 등장과 함께 사이버 범죄자에게 최대 수단으로 부상했다. 150가지가 넘는 암호화 랜섬웨어가 활동한다.
IoT 기기는 해킹된 후 공격 무기로 변신한다. 다른 인프라를 위협하는 좀비 기기가 된다. IoT 기기 펌웨어는 시큐어코딩을 하지 않았고 취약점이 발견돼도 조치하기 힘들다.
PC에서 중요 파일을 암호화해 돈을 벌던 해커는 이제 IoT 기기를 표적으로 노린다. 해커는 호주의 한 호텔에서 사용하는 전자출입카드 시스템을 공격했다. 당장 객실 문을 열 수 없게 된 호텔은 몸값을 지불할 수밖에 없다. 스마트전구를 모두 꺼버리거나 커넥티드 자동차 문을 잠그는 랜섬웨어를 볼 날이 멀지 않았다.
2015년 우크라이나 발전소는 사이버 공격으로 전력을 공급하지 못 했다. ICS는 특정 프로토콜을 사용하는 데 보안을 고려하지 않고 오래전에 개발됐다. 보안 취약점이 나와도 패치가 어렵다. ICS는 폐쇄망에서 운영돼 안전하다는 맹신이 강하다.
안전한 난수를 생성하는 건 언제나 어려운 문제다. 작은 기기는 안전한 난수를 만드는 데 쓰이는 알고리즘이 충분히 작동하기 어렵다. 최근 보안전문가는 무선보안접속(WPA2) 암호화를 깨는 방법을 밝혀냈다. 와이파이를 비롯해 무선 프로토콜은 신뢰할 만한 난수를 이용해 암호화 통신을 한다. 난수가 안전하지 못하면 신뢰는 바로 깨진다.
개발자는 다양한 소프트웨어 컴포넌트를 내려 받아 새로운 프로그램을 개발한다. 개발자가 자신이 사용한 라이브러리를 제대로 관리하지 못하면 보안 취약점 패치가 나와도 업데이트가 안 된다. 최근 개발자는 더 이상 라이브러리를 내려받지 않고 웹 서비스 형태로 이용한다. 컨테이너나 서버없는 클라우드 컴퓨팅을 쓴다. 웹 기반 소프트웨어 컴포넌트는 새로운 보안 위협을 가져온다. 웹 기반 소프트웨어 컴포넌트는 보안 점검과 모니터링이 어려운 탓이다.
SANS는 최근 새로 나온 망고DB 등 NoSQL DB나 엘라스틱 검색 취약점을 스캔하는 활동이 급증했다고 밝혔다. 이미 NoSQL DB가 침해사고를 당했다. NoSQL에서 취약점이 발견되면 한 시간 내 인터넷에 공개된다. 해커는 보안 사용이 급증했지만 보안이 취약한 NoSQL DB를 찾아 데이터를 지우고 몸값을 요구한다.
김인순 보안 전문기자 insoon@etnews.com