본문 바로가기
IT 와 Social 이야기

[IITP] IoT 보안 국내외 동향 및 IoT 보안 기술 - LG CNS 서혁준 부장

by manga0713 2017. 8. 9.

 

 

 

I. 서론

 

 

○ IoT 보안이 고려되지 않아 발생한 사고 사례

 

- 안나센빠이라는 ID를 사용하는 익명의 개발자는 미라이(Mirai)라는 악성코드를 제작하여 2016년 9월 IoT 장비를 대상으로 봇넷을 구성하고, 약 600Gbps 이상에 해당하는 악의적인 공격 트래픽을 발생시켜 대규모 디도스(DDoS) 공격이 가능함을 보여주었다.

 

- 카스퍼스키 보고서에 따르면 2016년 3분기 중 봇넷을 사용한 디도스 공격 표적에 든 나라가 67곳이었다고 한다. 이 중 중국 소재 목표가 전체 공격의 62.6%로 1위, 미국 18.7%로 2위, 한국이 8.7%로 3위에 꼽혔다.

 

- 러시아에서 운영중인 인세캠(Insecam)이라는 사이트에는 국내에 설치된 CCTV 수백 대를 포함한 전 세계의 해킹된 CCTV 영상이 실시간으로 중계되고 있다. 국내 CCTV에는 빌딩 로비, 수영장, 개인 사무실, 백화점 매장 등 불특정 장소가 다수 포함되어 있으며, 인세캠 이용자는 별다른 로그인 절차 없이도 해킹된 CCTV 영상을 PC 브라우저를 통해 시청할 수 있다.

 

- 국내에서는 러시아 인세캠 사이트가 유해 사이트로 지정되어 있어 접속할 수 없지만 외국에서는 해킹된 국내 CCTV 기기가 전송하는 영상을 시청할 수 있다.

 

 

 

II. 국내외 IoT 보안 가이드

 

■ GSMA IoT 보안 가이드라인

 

- GSMA IoT 보안 가이드라인(The GSMA IoT Security Guidelines)

 

- 모바일 업계의 자문을 받아 작성된 이 지침은 IoT 서비스 제공자, IoT 기기 제작자, GSM 망 운영자를 포함한 IoT 생태계의 모든 참여자를 위해 제작

 

- 잠재적 위협에 대처하는 기술과 방법 그리고 이를 실행하는 방안에 대한 개략적인 설명을 통해 서비스 제공자들이 보안 서비스를 구축하도록 방향을 제시

 

 

 

 

 

① 개요

 

- 위험 분석, 개발 보안 라이프사이클(Secure Development Lifecycle: SDL), 개인정보보호 프로세스를 설명, 서비스 / 기기 / 네트워크 보안은 개별 문서로 다룸

 

 

② 서비스 보안

 

- 서비스는 웹 서버, 웹 애플리케이션 서버, 데이터베이스 서버, 인증, 네트워크, 빌링 티어(Tier)와 같은 구성요소를 말함. 구성요소 및 연결 관계를 고려하여 보안 모델을 수립해야 함

 

- 서버 복제 이슈, 기기 이상 행위 탐지, 비정상 기기 접속 차단, 서버 해킹, 원격 공격 이슈 해결을 위해서는 해당 권고 사항을 충족해야 함

 

 

 

 

 

 

 

③ 네트워크 보안

 

- 네트워크 보안 영역의 권고 사항은 3GPP(3rd Generation Partnership Project) 사업자를 대상으로 함

 

- 3GPP 망에서 이용자/기기 등의 식별, 인증, 안전한 커뮤니케이션 채널의 권고 사항이 있다.

 

 

 

 

④ 기기 보안

 

- (기기의) 제약을 고려한 적절한 보안 모델을 정의해야 한다.

 

 

 

 

 

 

 

 

■ OWASP IoT 프로젝트

 

 

- 프로젝트, 공격 표면 영역, 테스팅 가이드, 주요 취약점으로 구성되어 지속적으로 업데이트되고 있음

 

 

 

 

 

 

① 공격 표면 영역

 

- 공격 표면을 18개로 정의

 

 

 

 

 

② 주요 취약점

 

- 기기 분해 후 디버그 포트를 이용한 코드 실행, 펌웨어 업데이트 체크 기능의 부재, 저장소(NVRAM, EEPROM) 데이터 위/변조, 압축된 펌웨어 추출을 취약점으로 정의하고 있다.

 

 

 

 

 

 

 

■ 국내 보안 가이드

 

 

○ IoT 공통 보안 가이드

 

- 공통 보안 가이드는 산업을 특정하지 않고 공통적인 보안을 서술하며 디바이스 계층의 보안만 다룬다.

 

 

 

 

 

 

 

○ 홈/가전 IoT 보안 가이드

 

- 스마트 TV, 스마트 냉장고, 홈 CCTV, 네트워크 카메라, 디지털 도어락, 공유기 등 실생활에 사용되는 가전을 대상으로 보안 구현 방법과 사례를 제시

 

 

 

 

 

 

 

III. IoT 보안 기술

 

 

■ IoT 보안 프로세스

 

 

○ 개발 보안 라이프사이클(SDL)

 

 

 

 

 

○ IoT 서비스 보안

 

① 상호 인증

 

- 기기는 서버를 인증하고 서버는 기기를 인증해야 한다.

 

- TLS(Transport Layer Security), PSK(Pre-shared key), UICC(Universal IC Card) 등의 기술이 있다.

 

 

 

② 안전한 펌웨어 업데이트

 

- IoT 기기 소프트웨어의 보안 취약점이 발견되면 체계적이고 신뢰할 수 있는 방법으로 보안 패치를 적용할 수 있어야 한다.

 

 

 

 

 

 

 

○ IoT 기기 보안

 

 

① 하드웨어 보안

 

② 부팅 및 실행 전 소프트웨어 위/변조 탐지

 

③ 디버그 포트를 통한 해킹 방지

 

 

 

 

** 출처: [IITP] IoT 보안 국내외 동향 및 IoT 보안 기술 - LG CNS 서혁준 부장

** 문서:

180801.pdf