스마트 홈 보안: 보안 및 취약점

본 글은 IoT를 지원하는 기술에 관한 5부 시리즈 중 한 기사를 요약한 내용입니다. 기사 전문은 wevolver.com을 참조하시기 바랍니다.

스마트 홈의 취약성

전 세계적으로 스마트 홈은 내년까지 4억 7,820만 개로 그 수가 늘어날 전망입니다(1). 스마트 홈 기술의 가장 큰 매력 중 하나는 인터넷에 연결된 장치를 사용하여 집의 보안을 원격으로 유지할 수 있다는 것입니다. 스마트 홈 장치를 통해 집을 도난, 파손 또는 사고로부터 편리하게 보호할 수 있지만, 스마트 홈 장치로 인해 개인 정보 보안이 약화될 위험이 발생하기도 합니다.

2021년 실시된 한 연구 결과, 일반적인 스마트 홈이 수많은 데이터 공격에 취약하다는 점이 드러났습니다(2). 보고된 스마트 홈 공격의 예로는 해커가 스마트 조명과 스마트 TV를 원격으로 조정하는 경우(3), IoT 기반 출입문의 잠금을 해제하는 경우, 원격으로 스마트 카메라를 켜고 동영상을 스트리밍하는 경우가 있습니다(4). 일례로, 밀워키의 한 집에서는 온도 조절기가 30℃ 이상으로 프로그래밍되었지만 잠에서 깬 후에야 공격당했다는 사실을 알게 되었습니다(5).

커넥티드 홈은 취약한 로컬 네트워크와 취약한 IoT 장치라는 두 가지 주요한 결점으로 인해 공격을 받기 쉬워집니다.

취약한 로컬 네트워크

기본 또는 취약한 SSID 또는 암호와 취약한 암호화 프로토콜로 인해 Wi-Fi가 공격에 취약해질 수 있습니다. 기본 자격 증명을 사용하면 침입자가 쉽게 라우터에 액세스할 수 있습니다. 강력한 Wi-Fi 암호를 사용하면 해커가 네트워크에 침투하기 위해 더 어려운 게이트웨이를 찾을 수 밖에 없습니다.

스니핑과 암호화 크래킹은 해커가 네트워크에 침입하는 가장 흔한 방식입니다. 스니핑의 경우, 해커는 장치와 라우터 간 전송되는 데이터 패킷을 하이재킹하여 자신의 장치로 전송하고 무차별 대입 방식으로 암호를 풉니다. 이러한 작업은 몇 분밖에 걸리지 않습니다.

대부분의 Wi-Fi 라우터는 WEP(유선급 프라이버시), WPA(Wi-Fi 보호 액세스) 또는 WPA2 보안 프로토콜을 사용합니다. WEP는 RC4 스트림 사이퍼입니다. WEP의 약점은 초기화 벡터(24비트 IV)의 크기가 작아 재사용된다는 점입니다. 이러한 반복으로 인해 보안이 취약해집니다.

더 안전한 옵션은 WPA와 WPA2이지만 연구자들은 심각한 결함을 발견했습니다. 바로 KRACK(WPA의 키 재설치 공격)입니다. 중간자 공격은 이를 이용하여 WPA로 암호화된 Wi-Fi 연결을 통해 중요한 데이터를 갈취할 수 있습니다. 공격자는 트래픽을 엿보면서 암호, 금융 자격 증명, 신용카드 정보를 파악할 수 있습니다.

취약한 IoT 장치

연구자들이 가장 널리 사용되는 다양한 브랜드의 스마트 홈 장치 총 16종을 테스트한 결과, 사용자를 해커의 공격에 노출시키는 54가지 취약점을 발견했습니다. 가능한 공격은 보안 시스템 비활성화부터 개인 정보 갈취까지 다양합니다(6). IoT 장치의 80%가 다양한 공격에 취약한 것으로 보입니다(7).

스마트 홈 장치는 특수 목적 장치이기 때문에 공격에 취약합니다. IoT 벤더들이 필요한 특수 목적 보안 솔루션을 제공하지 못하고 있습니다. 또한 스마트 홈 장치는 보안 솔루션이 Windows 또는 Linux 기반 시스템만큼 강력하지 않은 소규모 운영 체제(예: INTEGRITY, Contiki, FreeRTOS, VxWorks)를 실행하는 경우가 많습니다. 가장 흔히 사용되는 장치들은 일단 구축되면, 진화하는 사이버 공격에 대비해 보안 기능을 업데이트하도록 업그레이드하는 것이 불가능합니다.

일반적인 스마트 홈 장치 공격

스마트 홈 장치에 대한 공격은 장치와 통신 프로토콜에 따라 다양한 방식으로 실행됩니다. 일반적인 공격 방식은 다음과 같습니다.

• 데이터 침해 및 ID 도난

• 장치 하이재킹 및 스푸핑

• DDoS(분산 서비스 거부)

• 플래싱

스마트 홈 장치 구매 후 보안 유지

공격에 대한 스마트 홈 장치의 회복력을 강화하기 위한 보안 기능이 내장되어 있는 장치도 있지만, 소유자는 기본적인 보호 조치를 실행해야 합니다.

• 강력한 암호

• 게스트 네트워크

• 2단계 인증

• 펌웨어 업데이트

• 클라우드 대신 로컬 스토리지 사용

• 최고 수준의 암호화

• 방화벽

IoT 장치 개발자의 역할

IoT 장치 보안의 책임은 일차적으로 IoT 장치 개발자에게 있습니다. 이들은 장치를 안전하게 보호하는 데 필요한 조치를 취해야 합니다. 실행 가능한 조치는 다음과 같습니다.

• IoT 장치 내에 프로그래밍 가능 HRoT(하드웨어 신뢰점) 통합: HRoT는 전자 장치의 안전한 운영, 특히 SoC(시스템온칩)의 기반입니다. 암호화 기능에 사용하는 키를 포함하며 안전한 부팅 프로세스를 지원합니다. 프로그래밍 가능 HRoT는 끊임없이 늘고 있는 위협에 대응하기 위해 지속적으로 업데이트할 수 있습니다. 완전히 새로운 암호화 알고리즘을 실행하고 애플리케이션을 보호하여 진화하는 공격에 맞섭니다.

• 에지 컴퓨팅 적용: 데이터 소스에 가까운 에지에 위치한 장치에서 수집한 데이터를 처리합니다. 데이터가 취약한 네트워크를 통해 원격 서버로 이동하지 않으므로 침해 위험이 줄어듭니다.

• 무선 업데이트 기능 설계: 효율적인 OTA(무선) 업데이트 기능이 있는 장치를 제작합니다. 많은 소비자가 원격 위치에 장치를 가지고 있어 업데이트가 불규칙하게 이루어집니다. 개발자는 효율적이고 규칙적으로 실행될 수 있는 강력한 OTA 업데이트 전략을 시행해야 합니다.

결론

인터넷에 연결된 장치는 특성상 공격에 취약할 수밖에 없습니다. 스마트 홈 장치의 기능이 다양화되고 더 많은 가정에 설치됨에 따라, 개인 정보 보안 위험과 이를 완화하는 방법을 이해하는 것이 중요합니다. IoT 엔지니어는 미래의 스마트 홈에 보안이 추가 기능이 아닌 핵심 기능으로 내장되도록 해야 합니다.

본 기사 전문은 wevolver.com을 참조하시기 바랍니다.

참고 자료:

1. [온라인]. https://www.statista.com/forecasts/887613/number-of-smart-homes-in-the-smart-home-market-in-the-world.

2. Laughlin A. which.co.uk. [온라인]., 2021년. https://www.which.co.uk/news/2021/07/how-the-smart-home-could-be-at-risk-from-hackers/.

3. Whitney L. pcmag.com. [온라인]., 2020년. https://www.pcmag.com/how-to/how-to-stop-smart-tvs-from-snooping-on-you.

4. Vigdor N. New York Times. [온라인]., 2019년. https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html.

5. Sears A. FOX6 NEWS. [온라인]., 2019년. https://www.fox6now.com/news/felt-so-violated-milwaukee-couple-warns-hackers-are-outsmarting-smart-homes.

6. Broom D. weforum.org. [온라인]., 2021년. https://www.weforum.org/agenda/2021/11/how-to-secure-smart-home-devices/.

7. Press R. rambus.com. [온라인]., 2020년. https://www.rambus.com/iot/smart-home/.