사물인터넷(Internet Of Things)의 보안 취약성
얼마 전 신용카드 결제 단말기의 보안 강화를 위해 KTC(한국기계전기전자시험연구원)에서 추진하던 시도가 여러가지 이유로 인해 무산되는 일이 있었습니다. 그 과정에서 블로그를 통해 친분이 있는 VAN사에서 근무하시는 지후대디님과 신용카드 결제 단말기의 보안강화에 대한 KTC의 요구에 대응하는 기술의 구현을 위해 몇 차례 미팅을 가진적이 있었습니다. 그리고 지후대디님이 근무하시는 VAN사는 결제 단말기의 보안 강화에 대해 매우 적극적으로 대응하고 계셨고 SecureOS의 임베디드리눅스의 포팅에 상당히 긍정적이었습니다.
하지만 결론적으로는 결제단말기의 인증시험일정의 촉박함과 구현 방식에 대한 여러 VAN사와 카드사 그리고 KTC의 의견차이로 인해 이번에는 인증요건에서 빠지고 말았습니다.
신용카드 단말기는 세상에 가장 많은 IOT 기기 중 하나입니다. 요즘엔 롯데리아나 맥도널드 홈서비스는 물론 동네 치킨집 배달하시는 분들까지도 신용카드 결제 단말기를 들고 다니죠. 만약 신용카드 단말기가 대량으로 해킹될 경우 카드 복제와 혼란은 아마도 상상을 초월할 수도 있습니다.
그리고 신용카드 결제 단말기의 보안강화를 위한 KTC의 시도가 무산된지 얼마 지나지 않은 현재…결제 단말기가 해킹되어 신용카드 정보가 유출되고 신용카드가 복제되어 무단으로 사용되고 있는 것으로 보이는 사건이 발생했고 수사중이라는 뉴스가 올라오고 있습니다. (연합뉴스 기사 보러 가기) 아직은 수사중이라 정확한 사고 경위는 알 수 없지만 신용카드 결제 단말기에서 카드 정보가 유출된 것으로 보인다고 합니다.
또 하나의 가장 대표적인 사물인터넷 디바이스는 집집마다 하나씩은 갖고 있는 인터넷 공유기입니다. 저희 집에는 두개가 있네요. 통신사에서 제공하는 공유기와 제가 별도로 구입하여 사용하고 있는 IPTIME의 공유기입니다.
그리고 최근에는 이 공유기 하위에 원격에서 제어가 가능한 가스밸브잠금 장치, 홈 CCTV, IPTV 셋탑박스, 인터넷전화기 등등 보안에 취약한 사물인터넷 디바이스가 이미 많이 사용되고 있습니다. 이러한 인터넷 공유기 하위에 연결되어 있는 집집마다 설치되어 있는 “인터넷 공유기”를 해커가 장악하면 모두 제어가 가능합니다. 영화에 나오 듯 악당이 전세계의 IPTV 시청자에게 자신이 송출하는 협박 영상을 강제로 시청하게 하는 것이 불가능한 것이 아닌 세상이지요.
그래선지 모 통신사가 선도적으로 기가 홈 와이파이 공유기에 SecureOS를 적용하여 보안성을 강화하려는 시도를 하고 있습니다.
사물인터넷의 주요 운영체제인 임베디드리눅스의 보안 취약성
사물 인터넷 디바이스는 운영체제를 사용하는 경우도 있고 그렇지 않은 경우도 있습니다. 운영체제를 사용하지 않는 경우는 불가능하지만 운영체제를 사용하는 경우는 주로 임베디드 리눅스가 사용됩니다. 일반적인 리눅스 운영체제를 256M 이하의 디바이스에서도 구동될 수 있도록 슬림화한 운영체제가 임베디드 리눅스 입니다. CPU도 인텔계열이 아닌 ARM이나 퀄컴, 브로드콤 등의 AP에서도 구동될 수 있도록 포팅이 되어 있습니다.
이러한 임베디드 리눅스는 근간이 리눅스인 이유로 여러 취약점들을 갖고 있습니다.
이러한 보안 취약점들이 더 위험한 이유는 바로 사물인터넷 디바이스들이 네트워크 구조 상 보안 시스템이 존재하지 않는 네트워크에 위치하기 때문입니다. 사물인터넷의 대표적인 기기들인 신용카드 결제 단말기나 인터넷 공유기 등은 악의적 목적을 가진 해커가 물리적으로 기기에 접근하는 것을 제한하거나 기술적으로 네트워크 수준에서 접근 통제를 하고 있지 않은 환경에서 됩니다. 즉 무방비로 해커에게 노출되어 있는 것이죠. 그래서 앞의 그림에서 나열되어 있는 취약성을 해커들은 손쉽게 공격할 수 있습니다.
사물 인터넷 보안 강화를 위한 SecureOS
공유기가 설치된 각 가정마다 방화벽이나 침입차단 시스템을 설치할 수는 없습니다. 때문에 사물인터넷 디바이스 자체의 보안성을 강화하는 것이 가장 좋은 보호대책이라고 할 수 있습니다. 그런 측면에서 임베디드리눅스에서 구동될 수 있는 SecureOS는 악성코드의 감염이나 파일의 변조를 차단하고 사물 인터넷 디바이스에 침투하려는 해커의 시도를 차단하는데 가장 효과적이라 할 수 있습니다.
그래선지 요즘은 사물 인터넷 보안 강화를 위해 RedCastle SecureOS를 임베디드 리눅스에 포팅할 수 있는지를 타진하는 문의가 자주 오고 있습니다.