스마트 로봇 청소기 및 기타 스마트 홈 기기는 쉽게 해킹되어 비밀번호나 니모닉 단어 저장하는 데 사용될 수 있습니다.
글쓴이: 펠릭스 응
기사 출처: 테크 플로우 (Techflowpost) TechFlow
어느 날 아침 눈을 떠보니 로봇 청소기는 고장 나 있고, 냉장고는 몸값을 요구하고 있으며, 암호화폐와 은행 계좌 잔고는 흔적도 없이 사라져 있다고 상상해 보세요.
이 장면은 스티븐 킹의 1986년 공포 영화 '맥시멈 오버드라이브'의 한 장면이 아닙니다. 그 영화는 떠돌이 혜성이 전 세계적인 기계 파괴 광풍을 일으킨다는 이야기를 다룹니다.
반대로, 가정 내 스마트 기기를 통해 해커가 컴퓨터를 해킹할 경우 발생할 수 있는 실제 리스크 생각해 보십시오. 전 세계 사물 인터넷(IoT) 기기 수가 188억 개에 달할 것으로 예상되고, 하루 평균 약 82만 건의 IoT 공격이 발생하는 상황에서 이러한 시나리오가 발생할 가능성은 점점 높아지고 있습니다.
블록체인 보안 회사 베오신(Beosin)의 연구원인 타오 판(Tao Pan)은 인터뷰에서 "보안이 취약한 IoT 기기(예: 라우터)는 홈 네트워크 침입의 진입점이 될 수 있다"고 말했다.
2023년 기준으로 미국 가정은 평균 21개의 연결된 기기를 보유하고 있었으며, 스마트 홈 기기 사용자 중 3분의 1은 지난 12개월 동안 데이터 유출이나 사기 피해를 경험했습니다.
"일단 시스템이 침해당하면 공격자는 암호화폐 거래에 사용되는 컴퓨터나 휴대전화를 포함한 연결된 기기에 접근하기 위해 횡적으로 이동할 수 있으며, 기기와 거래소 간의 로그인 자격 증명도 탈취할 수 있습니다. 이는 특히 암호화폐 거래에 API를 사용하는 사용자에게 매우 위험합니다."라고 그는 덧붙였습니다.
그렇다면 해커들은 실제로 여러분의 집에서 어떤 정보를 훔칠 수 있으며, 어떤 피해를 입힐 수 있을까요?
본 매거진은 지난 몇 년간 발생한 가장 황당한 해킹 사건들을 모아봤습니다. 접근 제어 센서가 해킹당해 암호화폐가 채굴된 사례도 포함되어 있습니다. 또한 데이터 및 암호화폐 보안을 보호하기 위한 실용적인 팁도 정리했습니다.
커피 머신 침입
2019년, 사이버 보안 회사 Avast의 연구원인 마틴 흐론은 해커들이 가정용 네트워크와 기기에 얼마나 쉽게 접근할 수 있는지를 시연했습니다.
그는 간단한 목표를 세웠습니다. 바로 자신의 커피 머신을 원격으로 해킹하는 것이었습니다.
흐론은 대부분의 스마트 기기처럼 커피 머신도 기본 설정에서 비밀번호 없이 와이파이에 연결할 수 있어 악성 코드를 쉽게 업로드할 수 있다고 설명했습니다.
흐론은 "많은 IoT 기기는 초기에는 기기 설정 용도로만 사용되는 자체 Wi-Fi 네트워크를 통해 홈 네트워크에 연결됩니다. 이상적으로는 소비자가 해당 Wi-Fi 네트워크에 즉시 비밀번호를 설정하여 보호해야 합니다."라고 설명했습니다.
"하지만 많은 기기에는 와이파이 네트워크를 보호하는 비밀번호가 설정되어 있지 않고, 많은 소비자들도 비밀번호를 설정하지 않습니다."라고 그는 덧붙였다.
"펌웨어, 즉 커피 머신을 작동시키는 소프트웨어를 교체할 수 있기 때문에 저는 원하는 대로 할 수 있습니다. 어떤 소프트웨어로든 교체할 수 있죠. 기능을 추가하거나 제거할 수도 있고, 내장된 보안 조치를 무력화할 수도 있습니다. 그러니까 저는 뭐든지 할 수 있습니다."라고 그는 Avast에 게시된 영상에서 말했습니다.
흐론은 시연에서 커피 머신을 통해 몸값 요구 편지를 보여주며, 몸값을 지불하지 않으면 기기가 잠겨 사용할 수 없다고 알렸습니다.
하지만 커피 머신은 몸값 요구 메시지를 표시하는 것 외에도 히터를 켜서 화재 위험을 초래하거나 끓는 물을 분사하여 피해자를 위협하는 등 더욱 악의적인 행위를 저지르는 데 사용될 수도 있습니다.
더욱 무서운 점은 이것이 조용히 전체 네트워크로 침투하는 진입점이 되어 해커들이 은행 계좌 정보, 이메일, 심지어 암호화된 니모닉 단어 까지 감시할 수 있게 해줄 수 있다는 것입니다.
카지노 수족관 해킹
가장 유명한 사례 중 하나는 2017년에 해커들이 라스베이거스 카지노 로비에 있는 네트워크로 연결된 수족관을 해킹하여 10GB의 데이터를 전송한 사건입니다.
수족관에는 온도, 먹이 공급, 청소를 조절하는 센서가 설치되어 있었고, 이 센서들은 카지노 네트워크에 연결된 컴퓨터에 연결되어 있었습니다. 해커들은 이 수족관을 이용해 네트워크의 다른 영역에 접근하여 핀란드에 있는 원격 서버로 데이터를 전송했습니다.
카지노 측에서 표준 방화벽과 바이러스 백신 소프트웨어를 설치했음에도 불구하고 공격은 성공적이었습니다. 다행히 공격은 신속하게 파악되어 처리되었습니다.
사이버 보안 회사 다크트레이스의 CEO인 니콜 이건은 당시 BBC와의 인터뷰에서 "피해 없이 즉시 차단했다"고 밝혔습니다. 그녀는 인터넷에 연결된 기기가 끊임없이 증가함에 따라 "해커들에게는 천국과 같은 곳"이라고 덧붙였습니다.
도어 센서는 은밀한 채굴.
2020년, 전 세계적으로 코로나19 팬데믹으로 사무실이 폐쇄된 가운데, 사이버 보안 회사 다크트레이스는 은밀한 암호화폐 채굴 작업을 적발했습니다. 해커들은 사무실의 생체 인식 접근을 제어하는 서버를 이용하여 불법 채굴 자행하고 있었습니다.
이번 사건은 서버가 이전에 네트워크에 나타난 적이 없는 외부 IP 주소에서 의심스러운 실행 파일을 다운로드하면서 발생했습니다. 이후 해당 서버는 모네로 채굴 풀과 관련된 외부 엔드포인트에 반복적으로 접속했습니다.
이러한 유형의 공격은 "크립토재킹"으로 알려져 있으며, 마이크로소프트의 위협 인텔리전스 팀은 2023년에 해커들이 리눅스 시스템과 인터넷에 연결된 스마트 기기를 표적으로 삼는 이러한 유형의 공격 사례가 더 많이 발생했음을 발견했습니다.
마이크로소프트의 조사에 따르면 공격자들은 인터넷에 연결된 리눅스 및 IoT 기기에 무차별 대입 공격을 가하는 것으로 나타났습니다. 네트워크에 침입한 공격자들은 백도어를 설치한 후 암호화폐 채굴 악성 소프트웨어를 다운로드하고 실행합니다. 이로 인해 전기 요금이 폭등할 뿐만 아니라 채굴 수익 전액이 해커의 지갑으로 이체됩니다.
이러한 유형의 크립토재킹 사례가 잇따라 발생하고 있으며, 최근에는 가짜 404 HTML 페이지에 크립토재킹 코드를 삽입한 사례도 보고되었습니다.
스마트 기기 해킹: 전력망 파괴
더욱 우려스러운 것은 프린스턴 대학교의 보안 연구원들이 제시한 가설입니다. 해커들이 에어컨 21만 대와 같이 에너지 소비가 많은 기기들을 충분히 제어하여 동시에 가동시킬 수 있다면, 캘리포니아 주 인구 약 3,800만 명에 해당하는 규모의 갑작스러운 정전 사태가 발생할 수 있다는 것입니다.
이러한 장치들은 전력망의 특정 구간에 집중되어 동시에 작동될 때 특정 전력선에 과부하를 일으킵니다. 이로 인해 해당 선로의 보호 계전기가 손상되거나 작동되어 선로가 차단됩니다. 그러면 부하가 나머지 선로로 이동하여 전력망에 더욱 큰 부담을 주고 궁극적으로 연쇄 반응을 일으킵니다.
하지만 이는 악의적인 공격의 정확한 타이밍을 요구하는데, 폭염과 같은 극한 기상 현상 동안에는 전력망 변동이 흔히 발생하기 때문입니다.
로봇 청소기가 당신을 지켜보고 있습니다.
지난해 미국 여러 지역에서 로봇 청소기가 갑자기 스스로 작동하기 시작했습니다. 알고 보니 해커들이 중국산 에코백(Ecovac) 로봇 청소기에서 심각한 보안 취약점을 발견한 것이었습니다.
보도에 따르면 해커들은 이러한 기기를 원격으로 제어하여 반려동물을 놀라게 하거나, 내장 스피커를 통해 사용자에게 욕설을 퍼붓거나, 심지어 내장 카메라를 이용해 사용자의 집 안을 몰래 엿볼 수도 있다고 합니다.
사이버보안 업체 카스퍼스키는 "사물인터넷(IoT) 기기의 심각한 문제점은 많은 제조업체들이 여전히 보안에 충분한 관심을 기울이지 않는다는 점"이라고 밝혔습니다.
해커가 당신이 비밀번호를 입력하는 영상이나 니모닉 단어 녹음하는 장면을 입수한다면, 그 결과는 상상을 초월할 것이라는 것은 자명합니다.
스마트 기기를 노리는 해커로부터 어떻게 자신을 보호할 수 있을까요?
주변을 둘러보면 로봇 청소기, 디지털 액자, 현관 카메라 등 집안의 거의 모든 기기가 인터넷에 연결되어 있다는 것을 알게 될 것입니다. 그렇다면 비트코인을 안전하게 보관하려면 어떻게 해야 할까요?
한 가지 방법은 전문 해커 조 그랜드의 접근 방식을 따르는 것입니다. 즉, 스마트 기기를 전혀 사용하지 않는 것입니다.
그는 예전에 한 잡지와의 인터뷰에서 "우리 집에서 가장 똑똑한 기기는 휴대전화지만, 길찾기나 가족과 연락할 때만 사용하는 정도로도 꺼려진다"며 "스마트 기기는 아예 사용하지 않는다"고 말했다.
Avast의 Hron은 스마트 기기에 비밀번호를 설정하고 기본 설정을 사용하지 않는 것이 최선의 접근 방식이라고 제안합니다.
다른 전문가들은 IoT 기기, 특히 컴퓨터나 휴대폰과 네트워크를 공유할 필요가 없는 기기의 경우 별도의 게스트 네트워크를 사용하고, 사용하지 않을 때는 기기의 연결을 끊고, 소프트웨어를 최신 상태로 유지할 것을 권장합니다.
또한, 사용자가 집에 연결된 기기와 잠재적인 취약점을 확인할 수 있도록 도와주는 유료 온라인 검색 엔진도 있습니다.
