지난 11월 5~6일, 서울 양재동 더케이호텔서울에서 국내외 유명 해커와 보안전문가 500여 명이참석한 가운데 국제 해킹 보안 컨퍼런스 POC2015(www.powerofcommunity.net)가 성황리에 개최됐다.
 
POC2015에서 루마니아 해커 안드레이 코스틴(Andrei Costin. 사진)은 홈라우터, 프린터, 스마트홈, 냉장고, 스마트TV 등 IoT 임베디드 시스템에 대한 보안취약점 연구 결과물을 발표했다. 특히 삼성CCTV카메라 웹 인터페이스의 취약점도 공개해 관심을 끌었다. 그는 임베디드 디바이스 시큐리티 분야에 국제적으로 유명한 해커로 활동하고 있다. 데일리시큐는 POC2015 현장에서 그를 만나 간략한 인터뷰를 진행했다. 가정이나 기업에서 사용하는 많은 기기들이 해킹의 대상이 될 수 있고 쉽게 해킹이 가능하다는 점을 다시 한번 상기시켜준 인터뷰였다.  
 
-관심을 가지고 있는 연구분야는 어떤 분야인가.
임베디드 디바이스 시큐리티 분야다. 가정에서 사용하고 있는 홈라우터, 프린터, 스마트홈 디바이스, 냉장고, 스마트TV 등 IoT 시대에 연결되는 모든 임베디드 디바이스의 보안 문제를 연구하고 있다.
 
-이번 POC2015에서 발표 내용을 간략히 정리한다면.
임베디드 디바이스의 펌웨어에 대한 보안분석을 빠르게 할 수 있는 툴을 개발해 이번에 소개했다. 이 툴을 활용하면 수많은 디바이스 펌웨어의 취약점을 빠르게 찾아낼 수 있다. 임베디드 기기를 구매하지 않아도 공개된 펌웨어를 다운로드 해 취약점을 찾아 냈고 많은 보안취약점을 발견하게 됐다. POC에서는 그 툴을 만드는 방법과 펌웨어 취약점을 찾는 방법론에 대해 정보를 공유하는 자리였다.
 
-삼성 네트워크 CCTV 취약점에 대해서도 언급했는데 어떤 내용인가.
삼성 CCTV의 웹 인터페이스에 존재하는 취약점을 공개했다. 해당 웹 인터페이스를 대상으로 툴을 사용하면 쉽게 해킹이 가능하다는 것이다. 툴을 사용해 흔히 발견되는 웹 취약점을 찾아내고 이를 통해 웹 사이트와 연결된 네트워크에 침입해 타인의 CCTV 카메라 화면도 훔쳐 볼 수 있고 DDoS(디도스) 공격도 가능하게 된다. 또 서비스를 불가능하게 만들 수도 있다. 다양한 공격들이 가능하게 된다.
 
-실제로 삼성 제품을 테스트 해 본 것인가.
실제로 제품을 구매해 테스트 한 것이 아니라 실제와 동일한 가상 에뮬레이터 환경을 구축해 테스트 해 본 결과 해킹이 가능한 상황임을 알 수 있다. 즉 해킹 공격이 가능한 취약점이 존재하고 있다. 이 취약점을 통해 웹 인터페이스의 패스워드를 알아낼 수 있고 디도스 공격도 가능하다.
 
-취약한 기기나 사이트를 찾을 때 쇼단(Shodan) 이외에 사용하는 엔진이 있나.
쇼단 엔진도 사용하지만 지맵(https://zmap.io/)도 많은 해커들이 사용한다. 지맵을 사용하면 CCTV, 라우터 등 전세계인터넷에 연결된 기기들을 1시간도 안 걸려 찾을 수 있다. 보안전문가들도 많이 사용하지만 블랙해커들도 쇼단이나 지맵을 사용해 공격 타깃을 찾을 수 있다. 쇼단이나 지맵은 보안을 위해 만들어지긴 했지만 악의적 해킹을 위해서도 사용되고 있는 양면성이 존재하는 시스템이다.   
 
-IoT 시대, 네트워크와 연결되는 임베디드 기기들이 더욱 증가할 것으로 보인다. 제조사들에게 전할 말이 있다면.
제품을 출시하기 전, 펌웨어 분석을 통해 보안성 검증을 받아야 한다. 특히 웹 인터페이스는 XSS나 SQL인젝션 등 다양한 웹 취약점이 존재할 수 있어 주의해야 한다.
(통역 도움=한양대학교 강수지 학생)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com