PC 바이러스, 혹은 해킹의 시작은 개인의 호기심과 장난이었다. 하지만 중요한 정보들이 데이터로 기록되면서 해킹은 더 이상 장난 수준에서 끝나지 않게 됐다.

그렇다면 사물인터넷(IoT) 기기가 어디든 존재하는 지금, 해커들은 어떻게 IoT를 공격할까? 보안 기업 스틸리언 소속 화이트해커, 신동휘 연구소장을 만나 해커들의 IoT 공격 방법에 대해 들어봤다.

해커들의 IoT 공격 방법

1. 펌웨어를 노리는 해커들

펌웨어란 디바이스를 제어하는 기본 소프트웨어다. 이를 공격하기 위해 해커들은 기기에 탑재된 펌웨어를 분석, 특정한 포트를 열고 정보 입력을 기다리는 프로세스를 찾아낸다. 그리고 여기에 직접 수정한 가짜 악성 펌웨어를 주입해 IoT 기기 자체를 장악한다.

해커들은 이렇게 펌웨어가 수정된 IoT 기기를 이용해 좀비PC처럼 디도스(DDoS) 공격을 수행하거나 암호화폐를 채굴하기도 한다. 또한 망가진 펌웨어를 통해 장치 자체를 무력화시키기도 한다.

해커가 ‘IoT 업데이트 서버’와 같은 공급망을 장악할 경우 피해는 더욱 커질 수 있다. 유사한 사례로는 지난 2018년 6월부터 11월 사이 발생한 것으로 추정되는 에이수스(ASUS) SW(소프트웨어) 업데이트 시스템(공급망) 해킹 사건이 있다.

당시 공격자는 에이수스 서버를 장악하고 SW 업데이트를 가장해 100만 이상의 ‘에이수스 라이브 업데이트’ 유틸리티 활성 사용자들의 PC에 백도어를 설치했다.

이 공격을 발견한 보안 기업 카스퍼스키에 따르면, 공격자는 모든 사용자를 노린 것이 아니라 악성코드에 하드코딩된 600여 개의 고유 MAC 주소를 통해 특정 사용자만을 공격하기 위해 이 같은 해킹을 감행했다.

그런데 가장 문제가 된 것은 에이수스의 태도였다. 카스퍼스키는 2019년 1월 이같은 공격 상황을 발견하고 에이수스 측에 알렸다. 그러나 에이수스는 이에 답변하지 않았음은 물론, 해당 사태를 고객에게도 알리지 않았다. 이후 에이수스는 해당 공격이 문제가 된 지 약 2달 만에 취약점에 대한 패치를 내놨다.

신동휘 소장은 “사실 IoT 보안을 위해 사용자단에서 할 수 있는 보안 조치는 그리 많지 않다”며 “IoT 해킹으로 인한 피해를 막기 위한 조치는 설계 단계에서 이뤄져야 하는 만큼, 기업들의 철저한 초기 보안 설계가 가장 중요하다”고 말했다.