여전히 취약한 IoT 보안 환경, 보안 패치 적용까지 수년 걸리기도

[테크월드뉴스=석주원 기자] 일상에서 사용되는 IoT(사물인터넷) 장비가 늘어나면서, IoT를 경유한 해킹 등 보안 사고의 위험도 높아지고 있다. 특히 IoT 장비의 경우 처음 구매한 후 지속적으로 보안 업데이트를 하는 사용자가 드물기 때문에 사이버 공격에 매우 취약한 경우가 많다.

최근 글로벌 보안 기업 체크포인트 소프트웨어 테크놀로지스(이하 체크포인트)는 미국의 네트워크 장비 기업 유비쿼티 네트웍스(Ubiquiti Networks, Inc.)의 제품들에서 해결되지 않은 보안 취약점을 발견했다고 밝혔다.

체크포인트 연구팀은 인터넷에 노출된 2만 대 이상의 유비쿼티 제품들에서 플랫폼 이름, 소프트웨어 버전, 구성된 IP 주소 등의 정보 데이터가 노출되었으며 이는 기술 및 사회 공학 공격에 사용될 수 있다고 경고했다.

이 취약점은 장치의 네트워크 인터페이스에 노출된 두 개의 사용자 지정 권한 프로세스에서 발견되며 일부 손상된 디바이스에는 이미 ‘HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD’와 같은 경고가 표시된다.

문제는 이 취약점이 새로운 것이 아니라는 데 있다. 2019년에 10001/UDP의 서비스를 악용하여 유비쿼티 장비에 대한 서비스 거부(DoS) 공격이 수행된 적이 있고, 당시 보안 기업 Rapid7의 평가 결과 한 번에 약 50만 대의 취약한 장치가 발견됐다. 유비쿼티는 보안 패치가 배포해 문제 해결에 나섰지만 5년이 지난 지금도 수천 개의 디바이스가 여전히 취약한 상태로 남아 있는 것으로 확인됐다.

이번 사례 IoT 장치의 보안이 어려운 이유를 보여주는 대표적인 사례라고 할 수 있다. 체크포인트 연구팀은 “IoT 장치의 업데이트는 전파 속도가 느리고 배포된 모든 장치에 도달하는 데 수년이 걸리는 경우가 많다. 일부 사용자는 시스템을 업데이트하지 않아 영구적으로 취약한 상태로 남을 수 있다. 따라서 보안 설계 원칙에 따라 IoT 장치를 개발하고 처음부터 취약점과 멀웨어에 대한 보호 기능을 통합적으로 제공하는 것이 필수적이다”라고 밝혔다.

체크포인트 연구팀은 노출된 포트의 취약점으로 인해 장치가 완전히 손상될 수 있다고 설명했다. 내부 테스트 네트워크에서 스푸핑된 검색 패킷을 전송할 수 있었고 G4카메라와 CK+가 모두 응답하는 것을 확인했다. 무작위 샘플링을 통해 패치가 적용되지 않았을 가능성이 있는 인터넷상의 2만 개 이상의 장치에서도 스푸핑된 패킷에 응답한 것으로 나타났다.

이와 관련해 유비퀴티는 이전에 이 취약점을 패치했으며 최신 펌웨어가 설치된 장치는 내부 IP 주소에만 응답한다고 밝혔다. 체크포인트는 단순한 실수가 수년 동안 지속될 수 있으며 중요한 공격 벡터로 남아있을 수 있다고 지적하며 사용자들이 카메라나 기타 장치를 최신 펌웨어 버전으로 업데이트되었는지 확인해야 한다고 권고했다. 유비쿼티 제품은 국내에서도 판매되므로 해당 제품을 사용하는 중이라면 반드시 보안 패치를 진행해야 한다.

한편, 국내에서도 IoT 보안 취약점을 악용한 해킹 사건은 종종 발생하고 있다. 2022년 12월 전국 아파트 40만 가구의 월패드 카메라가 해킹돼 민감한 개인정보가 대량으로 유출되는 사건이 있었고, 2022년 1월에도 국내외 1만여 대의 CCTV 시스템이 악성코드에 감염되는 일이 있었다.

최근 일반 가정에서도 가정용 CCTV를 비롯해 TV, 냉장고, 청소기 등 각종 가전제품이 인터넷에 연결되어 편의성을 제공하고 있다. 하지만 이러한 제품들의 펌웨어 등을 지속적으로 업데이트하지 않고 방치한다면 오래된 취약점으로 민감한 개인정보를 탈취당할 위협이 있다.

보안 전문가들은 인터넷으로 연결된 모든 장치를 사이버 공격의 대상이 될 수 있다고 강조한다. IoT 장비를 안심하고 사용하기 위해서는 1차적으로는 제품을 판매하는 제조사나 유통사에서 보안 체계를 제공해야 하지만 사용자 역시 경각심을 갖고 주기적인 보안 패치 업데이트 등의 관리를 해야 한다.