해커가 원격에서 가정 내 가스 밸브를 열거나 전력 사용을 유발하는 스마트홈 컨트롤러 보안의 취약점이 발견됐다. 스마트홈 컨트롤러 등 사물인터넷(IoT) 기기를 노린 공격이 급증, 대책 마련이 시급하다.
한국인터넷진흥원(KISA·원장 백기승)은 신축 아파트 중심으로 확산되고 있는 스마트 홈 컨트롤러에서 보안 취약점을 발견, 최근 조치했다. 스마트홈 컨트롤러는 원격에서 가스 밸브를 잠그거나 전등을 켜고 끄는 IoT 기기다.
신축 아파트에 스마트 홈 컨트롤러 도입이 늘어나고 있지만 실제 주인만 접근할 수 있는 인증 절차는 취약하다. 해당 스마트 홈 컨트롤러는 사용자 인증 단계가 없다. 같은 네트워크에 속한 다른 컨트롤러에 접근할 수 있다. 취약점을 이용, 다른 가정 가스 밸브를 열거나 전력 사용을 유발한다. 전기요금 과다 청구 등 공격도 가능하다.
해커가 한 개 스마트 홈 컨트롤러를 장악하면 같은 네트워크 내 모든 기기를 조작할 수 있고, 스마트 홈 컨트롤러 오작동은 물론 악성코드 등을 심어 다른 사이트를 마비시키는 DDoS 공격에도 악용할 수 있다.
스마트 홈 컨트롤러 등 IoT 기기를 이용한 사이버 공격이 현실화했다. 취약점 보고도 급증했다. KISA에 따르면 2012년부터 IoT 취약점 접수가 증가했다. 무선공유기와 IP카메라 취약점이 가장 많다. 2013년 2건이던 IoT 취약점 포상 건수는 2014년 6건, 2015년 96건, 2016년(3분기) 136건에 이른다.
이동연 KISA 팀장은 21일 “기존에는 보안 취약점 대상 유형이 주로 애플리케이션(앱)이나 액티브X였다”면서 “지난해부터 IoT 기기가 확대되며 공격과 함께 취약점 신고도 늘었다”고 설명했다.
확산되고 있는 스마트 홈 컨트롤러는 사용자 인증 과정이 없다. 공유기와 IP카메라 등은 인증과정이 있다 하더라도 취약한 비밀번호 설정이 문제다. 해커는 공유기 관리자 페이지에 불법 로그인, 도메인네임서버(DNS) IP를 강제 변경하고 파밍 공격에 악용했다. IP카메라 역시 영상 정보를 노출하고 악성코드에 감염됐다.
이 팀장은 “스마트 홈 컨트롤러는 해당 제조사에 통보하고 보안 업데이트를 진행했다”면서 “올해 안에 IoT 제조사가 제품 출시 전에 적용하는 보안 가이드를 제작 배포할 예정”이라고 말했다. 그는 “최근 IoT 기기 공격이 급증해 11월 한 달간 IoT 취약점 집중 신고제도 운영하고 있다”고 덧붙였다.
[표]IoT 취약점 관련 주요 해킹 피해 사례
김인순 보안 전문기자 insoon@etnews.com
