2016년 10월 21일, DNS 제공자 Dyn이 대규모 DDoS(Distributed Denial-of-Service, 분산서비스거부) 공격을 받은 것으로 확인되었다. DDoS 공격의 대부분은 보안에 취약한 IoT기기가 악성 프로그램에 감염되어 공격을 수행한 것으로 파악되었다. IoT 기기를 통한 공격이 인터넷 제공 인프라의 중요 기능을 정지시켜 수많은 대형 사이트가 이용불가 된 것은 IoT 보안 확보에 관한 심각한 경고를 던져준다.
트렌드마이크로는 자사 블로그에서 이번 Dyn 대규모 DDoS 공격에 대해 다음과 같이 요약 설명한다.
Dyn의 보고에 의하면, 지난 10월 21일 금요일, 수천만의 분산된 IP 주소에서 대규모 공격이 Dyn을 덮쳤다. 첫 번째 공격은 미동부 표준시 기준 오전 7시에 시작되어 미국 동해안의 사용자가 피해를 입었지만, 2시간 후에 완화되었다. 두 번째 공격은 오후 12시경 시작되어 전 세계 사용자에 영향을 미쳤으며 1시간 후 완화되었다. 세 번째 공격도 이 날 오후 시작되었지만 사용자 피해가 발생하기 전 완화되었다.
공격은 어떻게 이루어졌을까? 대부분의 공격은 악성코드 미라이(Mirai, ELF_GAFGYT 패밀리)에 감염된 IoT 기기로부터 이루어졌다. 미라이의 경우 지난 10월 초 소스코드가 공개되었기 때문에 누구나 미라이로 구성된 봇넷을 제작하여 사용할 수 있게 되었다.
◇멈추지 않는 공격
이러한 공격이 ‘전혀 예상치 못한’ 것은 아니다. 몇 주전 미국 보안 전문사이트 KrebsOnSecurity.com 또한 미라이 봇넷을 이용한 DDoS 공격을 받았다. IoT 기기의 보안을 확보하는 방안을 찾을 때까지 공격은 멈추지 않을 것이다.
IoT에 관한 현재 형세는 공격자에게 유리하다. 현재의 IoT 기기는 보안이 확보되지 않았거나, 확보할 수 없거나, 확보될 전망이 없는 세 가지 유형으로 나누어지기 때문이다. 따라서 DDoS 공격으로 기업의 서버를 사용할 수 없게 될 것이라는 협박은 효과적이고 실질적인 강력한 위협이 되었다.
이러한 DDoS 공격으로 인한 피해는 현실 세계에서 나타난다. 만약 IoT 기기들이 중앙 서버에 연결할 수 없는 상황이라면 어떻게 될까? 일부 경우 프로세스가 처리되지 않아 사용자의 생활이 지장을 받을 수도 있다. 예전에 DDoS 공격을 말할 경우 약간의 성가심뿐이었지만, 현재 중요한 기능들이 점점 온라인으로 처리되는 상황에서 심각한 위협이 될 수 있다.
◇작동하지 않는 에코시스템
IoT 기기를 보안하기 위한 대책은 반드시 필요하다. 하지만 현재 이를 수행하기는 매우 어렵다. 사용자가 당장 IoT 기기 보안에 전문가가 되어 기기를 보안하기는 어렵다. 사용자가 가장 중요하게 여기는 것은 잘 작동하는지 여부이기 때문이다.
그렇다면 IoT 기기 판매원은 어떨까? 자신들이 판매하는 물건에 대해 판매자가 기술적인 지식을 갖추고 있다고 말하기 어렵다. OEM 제품에 브랜드를 붙여 자사 브랜드로 판매하는 경우도 있다. 제품의 리셀러 또는 수입자가 판매하는 제품의 기술적인 부분까지 보장하는 경우도 거의 없다.
결국 모든 책임을 제조사에 맡길 수 밖에 없다. 하지만 이 경우에도 보안은 최우선 사항이 아니다. 사용자에게 편리하게 새로운 기능을 빠르게 시장에 진출하는 것이 그들의 최우선 사항이다. IoT OEM 제조사 또한 보안 관련 지출이 매출에 큰 기여를 하지 않는다고 생각하기 때문에 보안에 투자하지 않는다. 추가로 장기간 지원은 시간, 인력, 비용이 소비되기 때문에 비용 절감의 대상이 되는 부분이다.
즉 IoT 기기 보안 확보를 위한 작업을 수행하려는 동기가 확실한 주체가 없기 때문에 IoT 보안 확보를 위한 ‘에코시스템’이 작동하고 있지 않은 것이다.
◇규제의 도입
IoT 보안 에코시스템이 작동하지 않을 경우 항상 위험에 노출되어 있다. IoT 보안 불안이 현실 사회에 미치는 피해가 밝혀지면 정부에서 규제를 도입할 가능성이 크다.
기술 업계에 대한 규제는 대부분 바람직하지 않은 것으로 여겨졌지만, 유례가 전혀 없는 것은 아니다. 대부분의 전자 제품은 다양한 안전 기준을 충족해야 하는 것처럼, 기본적인 보안에 대한 규제는 필요할 것으로 생각된다.
IoT 기기가 취약점이 전혀 없기를 바랄 수는 없다. 그러나 기본적인 보안을 갖추는 것은 충분히 고려할 사항이다. 예를 들어 오픈포트, admin/admin과 같은 기본설정 계정, 비암호화 전송 등 최소한의 보안 실수는 막아야 한다. IoT 기기가 사용자 일상에서 반복적으로 사용되기 위한 제품이 되기 위해 보안을 확보하도록 요구하는 것은 무리한 요구가 아닐 것이다.
◇IoT 보안의 미래
트렌드마이크로 측은 “장기적인 관점에서 IoT 보안은 개선될 것으로 기대할 수 있다. 보안이 확보되지 않은 IoT 기기에 의한 피해가 명백해질 경우, 이는 안전하지 않거나 불법적인 것으로 간주될 것이며, 안전하지 않은 자동차 또는 전자 제품은 판매할 수 없게 될 것”이라며 “IoT 기기 제조업체는 어떻게 안전한 제품을 생산할 수 있을 것인가? 현실적으로는 강제로 보안 개선 방법을 배우거나 제품 판매를 할 수 없게 하도록 하는 것이다. 단순히 보안 위험을 인식하는 것 만으로도 현재 IoT 기기에서 찾아볼 수 있는 중대한 결함의 대부분은 개선될 것”이라고 설명했다.
이미 제조업계와 규제 마련에서 개선의 징후가 보이고 있다. 유럽위원회는 현재 IoT 기기의 보안을 위한 새로운 규제를 검토하고 있는 중이다. 제조업계에서는 IoT 기기를 보안하기 위한 로드맵을 공개했다.
보안의 중요성이 심각하게 인식되어 너무 늦기 전에 개선을 시작해야 한다. 보안 에코시스템이 확립되기까지 우리는 IoT 기기에 의한 더 심각한 보안 침투 사례를 목격할지도 모른다. 이것은 IoT 기기 제조업계, 보안 기업, 그리고 규제들이 협력해 얼마나 신속하게 안전한 에코시스템으로 전환할 수 있을지에 달려 있는 것이다.
★정보보안 대표 미디어 데일리시큐!★
