최근 한국 아파트의 월패드를 해킹하여 영상을 다크웹에서 판매한다는 글이 올라와 국민에게 불안감을 주고 있다. 특히, 영상 판매자에게 다크웹에 올린 해킹 아파트 명단까지 온라인을 통해 유포되면서 사건이 더 커지고 있다.
21년 10월 중순 홍콩 한 포럼의 한국 아파트 17만 가구의 월패드를 해킹해 촬영했다는 사진이 올라왔다. 이 때 우리나라의 유명 연예인의 사생활이 포함되어 있다며 큰 이슈가 되었다. 이후 11월 중순 해당 영상을 판매한다는 글이 다크웹에 올라오면서 우리나라 국민이 이 이슈에 주목하게 되었다.
아파트에 설치된 시스템, 보안 장비들은 네트워크로 연결되고 첨단 ICT 기술을 아파트 거주에 적용시키면서 해킹이슈는 지속적으로 제기되어왔다.
월패드에 부착된 영상통화를 위한 카메라로 아파트 실내를 촬영한 영상을 판매하고 있기 때문에, 국민의 사생활 침해 우려는 더욱 커졌다. 이 영상은 1일치 영상을 한화 약 800만원에 판매하고 있다고 한다.
과학기술정통부에서는 위와 같이 관리자와 이용자, 즉 거주자가 지켜야할 보안수칙을 안내했다. 사실 거주자의 입장에서는 할 수 있는 일이 많이 없다. 월패드를 보안장비가 마련된 월패드로 교체하는 것이 가장 확실하겠지만, 비용도 많이 들고 아파트 건설사가 월패드를 일괄적으로 달아주기 때문에, 쉽지 않다. 영상의 유출을 막기 위해서는 월패드 카메라를 쓰지 않는 평상시에는 렌즈가리개를 이용하여 가리는 것이 가장 쉬운 방법이다. 하지만 거주자가 해킹을 막을 근본적인 해결방법을 찾기는 어렵다 그렇기 때문에 앞으로 건설사들은 홈가전 IoT 보안에 대해 더 집중할 필요가 있다.
IoT와 관련한 보안 이슈는 매우 많지만, 이번에는 월패드 관련 이슈인 촬영기능과 관리기능을 가진 IoT 제품의 보안 위협과 해결책을 중점으로 알아보려 한다.
보안 문제점
1. 개인영상 유출, 위장
-> 현재 이슈인 문제점으로 개인영상이 유출되면, 사생활 침해 문제가 발생하고 이를 악용하여 협박, 금전요구 등이 발생할 수 있다.
2. 보안설정 임의 변경
-> 월패드의 보안설정, 예를들어 패스워드나 시스템 자체 보안설정을 악의적인 해커가 임의로 변경할 수 있다. 월패드는 집안 IoT 기기들과 연동되어 있기 때문에 해커가 마음대로 집안 가전을 마음대로 조종할 수 있다. 또한 아파트 관리자를 상대로 돈을 요구할 수도 있다.
보안 요구사항
1. IoT 보안인증 체제 마련
우리나라의 경우에는 2017년 KISA에서 IoT 보안인증 기준 및 평가방법론을 개발하여 IoT 보안인증, 시험 서비스를 개시하였으며 아직은 법적근거가 없는 자율인증으로 진행중이다. 하지만 자율적인 인증제도이며 다른 국가에 비해서 심도있는 연구가 진행되지 않았다. 인증마크를 개발하여 제품에 표시하고 등급을 확인하여 소비자(건설사)가 직접 IoT 제품을 현명한 선택을 할 수 있도록 해야한다. 또한, 인증 제품은 홈페이지에 목록을 공개하여 입주자 역시 인증된 IoT 제품을 사용하는 아파트인지 확인할 수 있도록 해야할 것이다. 또한 인증기관은 주기적으로 사후관리를 하여 제대로 IoT 보안을 실천 중인지 확인해야 한다.
2. 인증 및 접근통제
먼저 제품의 초기 인증정보를 변경해야 한다. 보통 입주자는 처음 입주 후 월패드 비밀번호에는 큰 신경을 쓰지 않는다. 이 제품의 초기 비밀번호를 그대로 사용하는 경우 이를 악용한 미라이 악성코드 등에 노출될 수 있다. 2016년 IoT 기기를 포함한 다수 장치를 감염시킨 미라이 악성코드는 북미지역 인터넷을 3시간이나 마비시킨 바 있다. 출시 할 때에는 제품별로 인증정보를 다르게 주입하여 출시해야 하며, 월패드를 최초 사용 단계에서 초기 인증정보 변경을 강제해야 한다.
또한 IoT 제품 및 소스코드에 비밀번호를 평문으로 표시하지 말고 SHA2 이상의 보안강도를 가진 해시함수를 사용하여 저장해야 한다. 또한 DB접속과 같이 인증정보가 필요한 경우 AES 등으로 암호화하여 저장해야 한다. 인증정보를 입력할 때도 정보보호를 위해서 *로 표시하여 평문이 표시되지 않도록 해야한다.
그리고 IoT 제품을 제어하거나 제어 대상 상품을 등록하는 등의 중요한 기능에는 관리자만 접근할 수 있도록 허용해야 한다. 관리자 페이지는 사용자 인증과 다른 패스워드로 설정하여 사용자의 패스워드가 노출되더라도 중요한 기능에는 접근할 수 없도록 설정해야 한다.
3. IoT 제품 간 상호인증
IoT 제품 간 상호인증 없이 상호 연결이나 데이터 전송을 허용할 경우 비인가된 사용자에 의해 제품이 제어되거나 민감정보가 유출될 수 있다. 그렇기 때문에 데이터를 전송하거나 제어를 위해 연결을 수행할 경우 상호인증을 수행해야 한다. 개인단말의 어플을 통해서 월패드나 홈캠에서 취득한 정보나 영상데이터를 요청할 때 홈캠은 사용자 개인단말로 사용자 인증을 수행하도록 해야한다.
4. 안전한 암호 알고리즘 사용
국내 권고 암호 알고리즘(112bit 기준)
| 대칭키 암호 알고리즘 | 공개키 암호 알고리즘 | 해시 함수 | |||
| 키 공유 | 암복호화용 | 전자서명용 | 메시지 인증, 키 유도, 난수생성용 | 단순해시, 전자서명용 | |
| 국내 : SEED, ARIA, HIGHT 국외 : AES, 3TDES |
DH, ECDH | RSAES-OAEP | RSASSA-PSS KCDSA ECDSA EC-KCDSA |
SHA-224/256/384/512 | SHA-224/256/384/512 |
5. 감사기록
홈가전 IoT의 경우 사용자 접근, 로그인, 중요 기능 수행에 대한 감사기록 생성기능을 구현하여 이상행위를 탐지 및 추적할 수 있도록 해야한다. 사용자의 로그인 성공/실패, 제품 설정 변경 내역, 기능 수행 내역 등 로그를 생성해야 한다. 비밀번호, 암호키 등의 민감한 정보는 감사기록에 포함해서는 안된다.
이렇게 감사기록 수집한 후 감사기록을 보호하는 장치도 마련하여야 한다. 감사기록은 비인가된 삭제, 변경이 발생하지 않도록 보호해야 한다. 애초에 감사기록을 삭제, 변경하는 UI도 제공하지 않는 것도 방법이 될 수 있다.
'SECURITY ISSUE' 카테고리의 다른 글
| 자율주행자동차 보안문제점(외부, 내부 네트워크, 전장플랫폼)과 보안 시스템 / 보안 법제 현황(미국, 영국, 한국, 일본) (0) | 2021.12.14 |
|---|---|
| 사상 최악의 취약점 Log4Shell 이게 뭐지? : 원격 코드 실행(RCE) 취약점 CVE-2021-44228 (0) | 2021.12.13 |
| 개인정보보호위원회와 한국인터넷진흥원에서 운영하는 털린 내 정보 찾기 직접 해봤다! (0) | 2021.11.16 |
| 공동인증서(공인인증서) : 전자서명, PKI, 카카오인증, 공인인증서 폐지 이슈 (0) | 2021.11.15 |
| 스마트 팩토리 보안 위협 및 대응 방안 (0) | 2021.11.10 |
