기이하고 소름 돋는’ IoT 해킹 사례 라운드업

문제는 인터넷에 연결되는 이들 ‘스마트’기기 상당수가 무방비 상태로 노출돼 있으며, 이에 따라 쉽게 해킹 당할 수 있다는 것이다. 경우에 따라서는 민감한 정보를 유출하기도 하고, 감시 문제로 우려를 자아내기도 하며, 심지어는 실제 물리적 위험을 야기하기까지 한다.

이처럼 IoT 보안이 제기하는 문제는 거대하고, 복잡하며, 심각한 수준이다. 오늘은 보다 거시적 관점에서, 그 동안 헤드라인을 장식해 온 굵직굵직한 IoT 보안 사건 사고를 살펴본다. 물론 중간 중간 특이하거나 수상한, 혹은 우스운 일화들도 곁들여져 있다.

가전제품 보안을 가볍게 여기는 사람이, 누구나 꼭 주위에 한 명쯤은 있을 것이다. 오늘 소개할 일화들이 그런 이들에게 경종을 울리기를 기대한다.

봇넷의 디도스 공격
무방비 상태의 기기를 하이재킹 하여 봇넷 군단의 먹잇감으로 삼는 방식은 IoT 극 초창기부터 빈번히 발생해 온 가장 일반적 형태의 IoT 보안 위협이다. 해커들은 가상의 강제 징용과 유사한 방식으로 기기들을 수집하여 장악한 후 이들 전체의 연산력을 이용해 각종 웹사이트 및 온라인 서비스에 대한 디도스 공격을 감행한다.

IoT 봇넷 트렌드가 정점을 이룬 것은 2016년 악명 높은 미라이 사이버 공격이 발생했을 때였다. 미라이 사이버공격은 도메인-네임 인프라스트럭처에 대한 공격이 CNN, 트위터, 레딧, 넷플릭스 등 중요 웹사이트 및 온라인 서비스를 일시적으로 스톨 아웃(stall out) 시킨 사건이었다.

이 중단 사태를 야기한 것은 약간 변형된 형태의 디도스(봇넷) 공격이었다. 당시만 해도 봇넷은 대부분 TV나 홈 엔터테인먼트 콘솔처럼 무해한 IoT 디바이스들로 이뤄져 있었다. 미라이 사이버공격은 디도스 공격 중에서도 가장 강력한 수준이었다. 조사 결과 수십 만 대의 IoT 기기가 하이재킹 당한 것으로 알려졌다.

사탄의 인형

2017년 2월 한 건의 당혹스런 IoT 해킹 사고가 뉴스 지면을 장식했다. 피해자는 아동용 스마트 장난감 클라우드펫츠(CloudPets)의 제작사였다. 인터넷 연결형 스마트 장난감으로 인기를 끌고 있던 이 회사는 자신들이 보유한 대량의 사용자 정보 데이터베이스를 제대로 된 보안 조치도 없이 온라인에 보관해온 것으로 드러났다.

총 80만 명 이상의 이메일 계정과 허술한 패스워드를 포함한 각종 정보가 유출됐다. 보안 전문가들에 따르면 클라우드펫츠 장난감을 이용해 이뤄진 아동과 부모 간의 음성 메시지 데이터에도 접근이 가능했던 것이 확인됐다. (클라우드펫츠는 귀여운 애완동물의 외형에 음성 메시지 송수신을 기본 기능으로 하는 장난감이다.)

이어 추후 진행된 조사에서는 부모와 자녀를 연결해주는 이 장난감이 범죄자들의 원격 감시 도구로 악용될 수 있는 가능성이 확인되기도 했다.

토이 스토리
클라우드펫츠의 사례가 낯설지 않게 느껴진다면, 그건 아마도 최근 몇 년 들어 클라우드펫츠와 유사한 방식의 보안 위협이 주기적으로 발생해왔기 때문일 것이다. 인터넷 연결 장난감들은 보안적 관점에서 보자면 본질적으로 인터넷 연결 기기들과 하등 다를 것이 없다. 게다가 마이크나 카메라가 달려있다는 측면에서 보면 훨씬 더 무섭다.

이런 도시 괴담도 있다. 교외에 사는 한 부부가 한 밤 중 아이 방에서 들리는 외설스러운 욕설 소리에 화들짝 놀라 일어난다. 서둘러 아이 방으로 달려 가보니 누군가가 베이비 모니터와 카메라 시스템을 해킹한 것이었다. 움직임 탐지 기능이 있는 이 로봇 카메라는 부부가 방 안에 들어서자 아이를 향해 소리를 지르다 말고 고개를 들어 부부를 바라봤다고 전해진다.

불행히도 이는 단순한 도시 괴담이 아니라, 2014년 실제 있었던 일이다. 이 사건을 시초로 하여 여러 가지 소름 돋는 장난감 해킹 사건들이 발생했다. 2017년에는 FBI까지 개입하여 인터넷 연결 장난감 구매에 대해 소비자들에게 주의를 당부하기도 했다.

자동차 해킹
현재 매우 심각한 보안 위협의 초기 단계에 서 있으며 앞으로 여러 가지 IoT 보안 문제들이 발생할 것이라고 전문가들은 말한다. 온라인을 조금만 둘러 보면 안티 해킹 컨벤션이나 보안 관련 프레젠테이션에서 아직까지 발생하지 않은, 잠재적인 해킹 위협에 대해 설명하는 전문가들의 이야기가 차고 넘친다는 것을 알 수 있을 것이다.

2015년에는 어느 겁 없는 리포터가 자동차 해킹 문제에 대해 맨땅에 헤딩하기 식의, 실험적 접근을 한 적이 있었다. 와이어드(Wired)지 리포터 앤디 그린버그는 보안 전문가 찰리 밀러 및 크리스 발라섹의 도움을 받아 고속도로 차 해킹 실험을 진행했다.

고속도로에서 약 시속 110킬로미터로 달리는 와중에 미리 고용한 해커가 무선으로 지프 차의 대시보드 통제권을 탈취하도록 한 것이었다. 라디오 소리가 쾅쾅 울려 퍼지고, 에어컨이 최대 강도로 틀어지는가 싶더니 와이퍼가 미친 듯이 제 멋대로 움직이기 시작했다. 결국에는 엔진이 멈췄다.

이 유쾌하고도 소름 돋는 실험을 촬영한 영상은 단숨에 유명해 졌으며, 이를 계기로 자동차 업계가 가상 카재킹(carjacking) 딜레마에 대한 해결책을 제시할 것을 요구하는 목소리가 커졌다.

우회 공격
비즈니스들이 두려워해야 할 IoT 공격에는 어떤 것이 있을까? 중요한 질문이다. 얼마 전 샌프란시스코에서 치러진 한 보안 컨퍼런스의 공청회에서 전문가들은 어떻게 해커들이 IoT를 악용해 중요 비즈니스 정보를 탈취하는지를 소개했다. 특히 기기에서 기기를 오가며 기업 네트워크로 침투하는 이른바 ‘IoT 우회 공격’을 시연한 것이 많은 관심을 받았다.

프레젠테이션에서는 범죄자가 이미 인터넷의 은밀한 공간에서 구할 후 있는 IoT 침투 툴을 활용해 사무실의 보안 카메라에 접근하는 시나리오가 시연됐다. 보안 카메라에 접근한 해커는 라우터로 옮겨간 뒤 최종적으로는 해당 사무실을 넘어 건물 전체의 카메라에 접근하는 것이 가능해진다. 그리고 이미지 분석 소프트웨어를 활용해 카메라 피드들을 분석하면 말 그대로 ‘직원들의 어깨너머’ 모니터 화면과 키보드에 입력되는 패스워드를 훔쳐보는 것도 가능했다.

소개된 시나리오는 가상의 상황이지만 보안 전문가들은 이런 범죄 시도가 언제던, 아주 간단한 도구들만으로 가능하다고 경고했다.

심장 정지?
잠재적으로 해킹 위협이 존재하는 IoT 기기에는 여러 가지 종류가 있지만, 그 중에서도 가장 끔찍한 경우는 바로 외과적 수술로 삽입한 임플란트 장치일 것이다.

2017년 1월, 미국 FDA는 심장박동 조절 장치나 제세동기와 같은 특정 종류의 임플란트형 카디악 디바이스(cardiac device)가 악성 해킹의 대상이 될 수 있음을 경고하는 성명문을 내놓았다.

원래 이들 기기는 환자의 심장 건강 상태 정보를 원격으로 의사에게 보내기 위한 장치로 환자의 집에 있는 허브에 무선으로 연결되어 있으며, 이 허브가 랜드라인 및 무선으로 인터넷에 연결된다. 문제는 허브 기기 안의 특정 송신기들이 공격과 침입의 대상이 될 수 있다는 것이다.

최악의 경우 해커가 가상의 심박조절기를 조종하여 심장에 충격을 주거나 심장 박동을 제어하고, 기기의 배터리를 고갈시킬 수도 있다. 그렇다고 그렇게 놀랄 필요는 없다. 이러한 가능성이 제기되자마자 제조사들에서는 소프트웨어 패치를 개발해 내놓았다.

방이 좀 더운데?
또 하나의 유명한 도시 괴담이다. 간통으로 이혼 후 퇴거 명령을 받은 남성이 전 부인에게 복수할 생각으로 그녀가 휴가를 떠난 사이 주택의 스마트 보일러를 최대로 작동해 가스요금 폭탄을 맞게 하고, 전 부인이 휴가에서 돌아온 후에는 밤중에 몰래 보일러를 꺼 추위로 잠을 설치게 했다는 이야기다.

지금까지 기사를 읽어온 독자라면 이해하겠지만 진실 여부와 관계없이(이야기가 처음 소개된 것은 몇 년 전 한 아마존 포스트를 통해서였다) 현실적으로는 충분히 가능한 사건이다. 이 이야기는 여러 버전으로 와전되고 확대돼 스마트 보일러나 첨단 커넥티드 홈, IoT 전반에 걸친 공포를 불러일으켰다.

이 밖에도 해커들이 스마트 보일러 접근권을 탈취하고 복구 비용을 요구하는 랜섬웨어 시나리오 등 화이트 햇 해커들은 스마트 홈 시스템과 관련한 다양한 공격 사례를 검증하고 있다.

안전하지 않은 보안(?) 카메라
가정용 웹캠이나 무방비 상태의 보안 카메라는 취미로 해킹을 하는 해커들이나 변태들, 그리고 장난을 즐기는 일부 꾸러기(?)들의 좋은 먹잇감이 되어 왔다. 클릭 몇 번이면 누구나 전 세계 곳곳에 광활하게 펼쳐져 있는 보안 카메라 네트워크 상의 라이브 영상 중 하나를 해킹하여 액세스 할 수 있다.

심지어 인시캠(Insecam.com) 같은 곳에서는 무방비 상태의 카메라 피드를 보여주는 디렉토리까지 제공한다(물론 이 곳에 가면 이보다 훨씬 윤리적이지 못한 디렉토리들도 많다).

작년 초 한 쌍의 동유럽 해커들이 워싱턴 DC의 모든 옥외 감시 카메라의 2/3에 대한 부분적 통제권을 행사했다가 검거된 바 있었다. 이들은 특히 워싱턴 DC 경찰청의 카메라를 노리는 패기(?)를 보여줬다. 하지만 타이밍이 좋지 않았다. 최초의 공격이 트럼프 대통령 취임식 직전에 일어 났기 때문에 이 사건은 미국 비밀경호국의 이목을 끌게 되었다.

비밀경호국은 장난으로 일 하는 사람들이 아니다. 이들은 런던에 있던 범인들을 빠르게 추적하여 체포한 후 국외 추방시켰다. 조사 결과 이들의 해킹은 취임식과는 아무 관련이 없었으며 더 큰 랜섬웨어 계획의 일부였던 것으로 밝혀졌다.

예술로 승화된 IoT 해킹
그런데, IoT 해킹에 생각보다 긍정적인 측면도 있을지 모른다. 여러분은 감시 카메라 사진 전시회가 있다는 사실을 알고 있는가?

2015년 사진사 앤드류 해머랑은 하이재킹 된 보안 카메라 1대로부터 찍힌 이미지들로만 구성된 사진 컬렉션을 공개했다. 해머랑은 구글 검색을 이용해 익명의 한 미국 도시 한복판에 있는 기지국과 무방비상태 웹사이트를 찾아냈다. 이 카메라의 로테이션 및 줌 기능을 통제할 수 있게 된 해머랑은 감시카메라를 가지고 이 교외 도시와 주민들의 사진을 1년 동안 촬영했다.

저해상도로 촬영된 이 이미지들은 묘하게 강력하다. 해머랑은 사진에 찍힌 이들의 신원과 프라이버시를 지키기 위해 이미지를 흐릿하고 불분명하게 촬영했다. 사실, 이 프로젝트의 목적은 국가의 감시 시스템에 대한 메시지를 전달하는 것이었다. 깊은 울림을 주는 이 사진들은 오픈 소사이어티 파운데이션 다큐멘터리 포토그래피 프로젝트(Open Society Foundations Documentary Photography Project)에서 볼 수 있다.dl-ciokorea@foundryco.com