지난 상반기에 해킹을 시도하는 국내 IP를 조사하는 과정에서 모 지방자치단체의 PC 일체형 모니터가 봇넷에 감염돼 공격에 활용되고 있음을 확인했다. 이와 함께 유·무선 공유기나 CCTV, 영상녹화장비 등 100여대가 해킹에 활용되고 있는 것을 파악했다. 감염된 장비는 사용자가 모르는 사이 해킹 그룹의 공격, 암호화폐 채굴에 활용되는 게 보통이었다.
해커는 효율적 공격 대상 선정에 부단한 노력을 쏟는다. 어떻게 하면 쉽고 빠르게 효율적 성과를 낼 수 있을까를 고민한다. 보안장비 성능, 보안 인식이 개선되면서 그들의 고민이 깊어진 것이 사실이다.
그러나 사물인터넷(IoT) 확산으로 해커는 또다시 새 기회를 맞았다. 허술한 보안으로 IoT 분야는 해킹 그룹의 놀이터가 됐다.
국내외 보안 전문가는 IoT 증가 추이로 판단하였을 때 2025년 1조대 이상의 IoT 기기가 인터넷에 연결될 것으로 보고 있다. IoT는 공격자에게 새로운 타깃이자 '블루오션'이나 다름없다.
공격자에게 IoT가 매력적인 공격 대상이 된 것은 IoT 기기가 증가하기 때문만은 아니다. 그들에게 IoT 기기는 침투하기 매우 쉬운 먹잇감이다.
주기적 업데이트나 비밀번호 변경 등 보안 조치가 제대로 이뤄지지 않기 때문에 공격자는 적은 노력으로 큰 성과를 거둘 수 있다. 올해 상반기 기준 윈스의 공격 패턴에 탐지된 취약점 상위 10개 가운데 8개가 IoT 취약점 공격인 것으로 파악됐다.
취약점 패치를 위한 업데이트 부재는 IoT만의 문제는 아니다. 지난해 12월, Log4j 취약점이 발생하는 Apache 2.4.49 버전은 아직도 100만개가 넘는 서버가 취약점 업데이트를 하지 않은 채 공격자의 타깃이 되고 있다. 사용자의 지속적 보안 관심과 주기적 취약점 업데이트가 필요하지만 서버 내 사용하고 모듈의 호환성이나 서비스 중단 등의 리스크가 존재하기에 취약점 업데이트율이 높지 않다고 판단한다.
공격자의 궁극적 목표는 취약점을 활용해 IoT 장비에 침투, 공격의 숙주로 활용할 수 있는 봇넷을 설치하는 것이다. 2000년대 초반에 유행한 '좀비 PC'와 동일한 개념이지만 숙주가 PC에서 IoT 장비로 옮겨 가고 있다. 감염된 IoT 장비는 분산서비스거부(DDoS) 공격에 활용돼 추적과 대응을 어렵게 하고 있다.
2016년 9월 CCTV 14만대를 활용한 DDoS 공격을 시작으로 현재까지 숙주로 활용될 다양한 IoT 장비가 해커의 공격 대상으로 자리 잡고 있다. IoT는 공격자의 침투가 PC보다 용이하며, 감염 후 공격에 활용되더라도 일반 사용자의 단말을 숙주로 삼기 때문에 보안 전문가의 추적과 대응이 어렵다.
IoT 장비가 DDoS 공격에 활용되면 서비스 중단, 업무 지연, 신뢰도 하락, 이미지 개선 등 사회적 비용이 많이 투입된다. 모든 기업이 언제 발생할지 모르는 DDoS 공격 때문인 인적·물적 비용을 투자하는 것은 어려운 일이다.
봇넷 감염은 취약점 공격을 통해 이뤄지고 있으며, 공개되지 않은 제로데이 공격이 아니라 이미 공개된 취약점을 활용한 원데이 공격으로 진행되고 있다. 호미로 막을 것을 가래로 막을 필요는 없듯 적군의 공격이 시작되기 전에 공격 통로를 미리 차단해야 한다.
IoT는 우리 인프라이며, 동시에 우리 인프라를 위협하는 존재다. 우리를 위한 인프라가 우리를 겨누는 총구로 돌아올 수 있다. 해마다 증가하는 IoT를 통해 공격 통로와 가능성이 증가하는 만큼 사회·국가적 공급망 보안을 고려하고 강화해야 한다. 공급망이 어떻게 구성되어 있는지 완벽하게 파악하고 공격 트렌드에 맞춰 대응책을 마련한다면 안전한 인프라를 구성할 수 있다.
IoT 장비가 거대한 공격에 활용되기 전에 안전한 공급망 보안을 구축해야 한다. 그래야 비용과 시간을 절약할 수 있다.
진철규 윈스 연구개발부문 분석팀장 jinck0130@wins21.co.kr