[IoT Security] Universal Plug and Play(UPnP) protocol 취약점과 함께보는 IoT 보안 리스크

 

[이미지 출처: HKCERT.Org "Potential threats of UPnP service exposure to the internet"]

 

 

UPnP(Universal Plug and Play) 네트워크상의 장비들을 연결 시키고, 통신할 수 있도록 해주는 프로토콜인데요.

Plug and Play라는 말에서 알 수 있듯이, 네트워크에 연결하면 자동으로 주소를 할당받고 운영 환경 또한 자동으로 구성합니다.

 

다음과 같은 스텝으로 일(?)을 하지요.

 

 

[이미지 출처: HKCERT.Org "Potential threats of UPnP service exposure to the internet"]

 

 

자기 스스로 알아서 하니까 사용하기 참 편하지요.

그런데 이 편한 설계 사상과 기능이 악용된지는 오래 됐습니다. 위 그림의 출처인 HKCERT(홍콩 CERT) 블로그의 글도 2013년에 게시된 포스트 입니다.

 

UPnP의 보안 취약점은 위 두 번째 그림에서 알 수 있듯이 각종의 통신 기기들을 인증없이(Without Authentication) 연결 해 주고(물론 그 경로도 다 알 수 있게 해주고요), 구성을 자유롭게 할 수 있다는 것과 그런 조작에 필요한 권한도 쉽게 취득할 수 있다는 점입니다.

 

취약점에 관한 정보를 더 보시겠습니다.

 

 

 

 

말씀 드린 것처럼 이런 자료가 2013년 2월에 게시 됐기 때문에 취약점에 대한 패치와 대응이 많이 이루어졌을텐데요. 이번에 IC3(The Internet Crime Complaint Center)에서 다시 한 번 경고가 나왔습니다. ("IC3 Issues Alert on IoT Devices")

 

 

해당 경고에서는 UPnP의 취약점을 중심으로 IoT 기기들의 보안 취약성, 그것이 야기하는 문제, 보안 대응 등을 제시했는데요. 다음과 같습니다.

 

 

1. 영향을 받을 수 있는 IoT 기기들: UPnP의 적용을 떠나 분류할 수 있는 거의 모든 IoT 기기들을 이야기 합니다.

 

-원격 또는 자동으로 조정되는 조명, 냉난방통풍장치(HVAC: Heating, Ventilation, Air Conditioning)

-육아와 보육에 사용되는 보안 시스템(Video Monitor 등)

-원격 의료 기기(Insulin dispensers인슐린 주유기)

-온도 조절 기기

-웨어러블 기기(Fitness devices)

-전등 자동 점멸 기기

-스마트 가전 및 OA기기

-모바일 기기를 이용한 리모콘 기능

-연료 모니터링 시스템

 

 

2. IoT 기기들의 특징: "지네끼리 뭔가 한다"를 중점 사항으로 봅니다.

 

-운용 목적에 따라 사람의 개입 없이 자동으로 네트워크에 연결되어 데이터를 주고 받음

 

 

3. IoT 기기들의 보안 위해 요소: 크게 아래의 4 가지로 봅니다.

 

-부족한 보안 기능

-취약점 대응 등을 위한 패치의 어려움

-(Factory)Default Password의 사용

-사용자들이 보안 인식 부족

 

 

4. IoT 기기의 위해 요소를 나열해 보면

 

-검색하면 다 나오는 (Factory)Default Password로 인해 공격자의 접근 아주 용이 함

-따라서 필요한 권한을 다 취득 할 수 있음

-그렇다보니 구성을 바꾸거나 기기상에서 임의의 명령어를 실행 할 수 있음

 

그래서 Impact는

 

-구성을 바꿀 수 있음

-임의의 명령어를 실행 할 수 있음

-민감 정보 및 개인정보를 수집, 도청할 수 있음

-악성 코드, 스팸의 숙주로 활용할 수 있음

-기기에 물리적인 손상을 일으킬 수 있음

-기기의 오작동을 유도할 수 있음

-정상적인 비즈니스 트랜잭션의 변조가 가능 함

 

 

생각해보면 엄청난 내용들이지요.

심장 박동기기를 멈추게 한다거나, 가스 배관의 가스 유입량을 증폭시키거나

어이쿠야~~

 

마지막으로 권고 사항입니다.

 

4. IoT 기기의 적용 및 보안 취약점에 대한 권고사항

 

-IoT 기기들의 연결을 분리하라. (보통 Isolate라고들 하지요. ^^)

-UPnP 프로토콜의 사용을 금지 하라.

-IoT 기기들과의 연결 및 구성에 신중을 기하라.

-보안 인증된 기기를 구입하라.

-(가능한 경우)기기의 보안 패치를 적용하라.

-도입 적용할 IoT 기기의 기능에 스팩에 대한 이해를 가져라.

-(Factory)Default Password를 변경하라.

-Wi-Fi Router를 Hardening하라.

-가장 최근의 모범 사례를 참조하라.

-가장 패스워드를 적용하라.

 

 

이상입니다. ^^