주변의 전자기기들이 거부할 수 없는 명령을 내린다면? 2008년에 개봉한 영화 ‘이글아이’의 주인공 제리는 어느 날 "FBI가 집에 찾아올 테니 바로 도망치라"는 의문의 전화를 받는다. 영문도 모른 채 쫓기게 된 제리는 군 정보감시용 AI 수퍼컴퓨터에 의해 장악된 ATM, CCTV, 교통안내전광판 등을 통해 실시간으로 명령을 전달받고, 살아남기 위해 이에 복종하게 된다. 긴밀히 연결된 IoT(사물인터넷) 시스템이 행여나 악용될 경우에는 인간을 압도하는 위협으로 돌변할 수 있다는 가능성을 보여주는 장면이다.
놀랍게도 영화를 볼 당시만 해도 비현실적으로 느껴졌던 이러한 장면들이 허구의 영역을 넘어 우리의 현실 세계에서 실제로 발생할 가능성이 점점 높아지고 있다. 일례로, 작년 가을 미국과 프랑스에서 세 차례에 걸쳐 발생했던 미라이(Mirai) DDoS 공격의 경우, DDoS 공격에 일반적으로 사용되는 PC가 아닌 가정에서 사용하는 웹캠, 라우터 등을 IoT 봇넷으로 만드는 방식으로 초당 665Gbps부터 역대 최고치인 1.2Tbps 트래픽 수준의 DDoS 공격을 일으킬 수 있었다는 점에서 큰 충격을 자아냈다.
그러나 다크웹에 공개된 소스코드를 통해 빠르게 증식한 미라이 봇넷이 뜨거운 조명을 받았던 것도 잠시, 시간이 흐르며 IoT 봇넷에 대한 사람들의 관심은 점차 사그라들었다. 그리고 약 1년 후, 하루 1만 대에 달하는 IoT 기기를 감염시킬 정도로 빠르게 몸집을 불린 ‘IoT 루프(혹은 IoT 리퍼) 봇넷’이 등장하며, IoT 보안 생태계는 또 다른 전환점을 맞게 된다. 미라이를 능가하는 대규모 DDoS 공격이 발생할 가능성이 높아짐에 따라, 팽팽한 긴장감이 다시금 고조될 기미를 보이고 있다.
미라이 봇넷을 능가하는 ‘IoT 루프 봇넷’
IoT 루프 봇넷은 IoT 기기를 감염시켜 봇으로 만들고 이를 DDoS 공격에 이용한다는 점에서는 미라이 봇넷과 유사하지만, 미라이 봇넷보다 훨씬 더 빠른 속도로 IoT 기기를 감염시키고 있는 것으로 드러나 더 높은 우려를 불러일으키고 있다. IoT 루프 봇넷은 올해 9월 말 발견된 이래 이미 100만 개가 넘는 조직의 IoT 장치들을 검색한 것으로 알려졌으며, 현재까지 실제로 감염된 IoT 장치의 수는 아직 정확히 파악이 되지 않은 상황이다.
IoT 루프 봇넷이 미라이 봇넷보다 훨씬 더 빠른 속도로 IoT 장치들을 감염시킬 수 있는 이유는 무엇일까? 미라이 DDoS 공격을 감행한 공격자들은 대부분의 IoT 기기가 원격 관리를 허용하는 23번 포트(텔넷)를 사용하고 있다는 것을 노리고 랜덤 IP 주소를 생성하여 23번 포트로 접근 후 62개의 기본 계정 아이디와 비밀번호를 무차별 대입하는 방식을 사용했다. 그리고, 계정관리가 취약했던 수 많은 IoT 기기들을 장악해 악성코드 미라이에 감염시킴으로써, DDoS 공격이 가능한 수 많은 봇넷을 만들었다.
기본 로그인 정보를 악용한 미라이와 달리, IoT 루프 봇넷은 여러 취약점을 가진 IoT 기기를 찾아내 감염시키는 보다 지능적인 공격 방식을 채택했다. IoT 루프 봇넷은 랜덤 IP 주소에 취약점 검색 트래픽을 전송하여 취약점을 찾고 해당 취약점을 이용해 악성코드를 주입시키는 공격 방식을 사용했다. 이를 통해, 보안 프로그램 탐지망을 유유히 우회하며 DDoS 공격을 실행할 수 있는 IoT 좀비 군단을 조용히 빠른 속도로 만들고 있었던 것으로 나타났다.
무방비 상태로 온라인에 정보가 노출된 IoT 장치들…IoT 검색엔진에서 쉽게 검색 가능해
한편 IoT 루프가 짧은 시간 내 수 많은 IoT 기기를 빠르게 감염시킬 수 있었던 또 다른 원흉으로 상당수 IoT 장치들의 정보가 온라인에 노출되어 있다는 사실을 꼽을 수 있을 것이다. 실제로 IoT 검색엔진인 ‘쇼단’을 이용해 특정 취약점이 있는 장치를 검색해 본 결과, 어렵지 않게 내용을 확인할 수 있었다. 예를 들면, IoT 루프가 사용하는 인증정보 유출 취약점(CVE-2017-8225)이 있는 IP카메라를 검색했을 시, 한국에서는 3천여대의 IP 카메라가 검색되었고 그 중 천백 여대는 서울에 있는 것으로 나타났다.
물론 쇼단 검색을 통해 노출 된 IoT 장치 전부가 감염되었다고 말할 수는 없으나, 이를 통해 취약점 정보가 알려진 장비들은 해커의 공격 대상이 될 가능성이 높다고 볼 수 있다. 또한, 상당수의 IoT 장비에는 별도의 보안 솔루션을 탑재하기 어렵다는 점을 감안할 때, 쇼단에서 취약점이 검색되지는 않더라도 치명적인 취약점을 지닌 채 방치되어 인터넷에 연결된 IoT 기기들은 생각보다 많을 것이라 예상된다. 아니 방치되어 있다기 보다는 ‘인지’ 자체가 되지 못하고 있다는 표현이 더 어울릴 것이다.
그리고 인지되지 못한 취약점을 가진 채 인터넷에 무방비로 노출된 IoT 장치를 안전하게 보호하는 데는 엄연한 한계가 존재한다. PC, 모바일 기기와는 달리 장치 별 경량, 전력, OS, 인증 방식 등에 다양한 차이가 있는 IoT 기기에 최적화된 백신 프로그램을 적용하기가 어려울뿐더러, IoT 장치 제조사가 취약점을 인지하고 펌웨어 업데이트를 배포하였다 할지라도 장치 대부분이 개인의 소유인 만큼, 사용자 스스로가 이를 실행하지 않는다면 취약점이 존재하는 상태로 방치될 가능성이 높기 때문이다.
소 잃고 외양간도 고치지 않는다? IoT 제품·서비스 제조자, 사용자 모두가 관심 기울여야
그렇다면 어떻게 해야 안전한 IoT 장치의 수를 늘릴 수 있을까? 소를 잃은 후 외양간도 고치지 않는다면, 이와 같은 공격이 다람쥐 쳇바퀴 돌 듯 반복될 수 있을 것이다. 하루가 다르게 다양한 기술, 표준에 기반한 IoT 기기가 새롭게 선보여지고 있는 만큼, 취약점이 있는 IoT 장치를 노리는 보안 위협은 더 높아질 수 있다. IoT의 혜택을 보다 안전하게 누리기 위해서는 IoT 기기의 취약점을 인지하고 보안성을 확보하기 위한 기업과 사용자 모두의 노력이 뒷받침되어야 한다고 생각한다.
제조사들은 제품·서비스의 기획 설계 단계부터 보안성을 고려하여 생애주기 전반에 걸친 관리·운영 정책을 마련하고, 이슈 발생 시에는 즉시 펌웨어 업데이트를 제공하여 IoT 장치가 안전하게 유지될 수 있게 최선의 노력을 다해야 한다. 사용자들 역시 개인 소유인 IoT 장치에 대한 관심에 기반해, 출고 시 적용된 로그인 정보와 접근제어 설정을 반드시 변경하고 배포된 펌웨어 업데이트를 제 때 실시하는 등 자신의 IoT 장치를 안전한 상태로 유지하기 위해 각별한 주의를 기울여야 할 것이다.
이와 같이 기업과 사용자 모두가 현재의 IoT 장치 관리 실태를 인지하고 이를 개선하기 위해 노력한다면, 안전한 IoT 장치의 수는 점점 증가하게 될 것이다. IoT 루프 봇넷이 미라이 봇넷을 능가하는 엄청난 폭풍을 일으킬 것인지 아니면 산들바람과 같이 지나갈 것인지 그 열쇠는 IoT 제조사와 사용자 모두가 쥐고 있다. IoT 생애주기 전반을 아우르는 통합적인 보안 체계 마련 및 보안 조치 실행을 통해 우리 삶에 깊이 스며든 IoT 기기의 보안성을 한 단계 더 높였으면 한다.