Internet of Things with your future

(당신의 미래와 함께하는 사물인터넷)

한국CISSP협회 보안연구실유정훈 팀장

James.yoo@boanin.com

2015.11.18

서론 I 블랙스완이론[Black Swan Theory]

검은백조

발표 배경[목차]

IoTWithYour

Future

용어의 정의

사물인터넷보안 위협

인터넷(보안)환경의패러다임/IoT기술

사물인터넷보안

고려 사항

영화속 미래세상엿보기

정보보호가무엇이고, CPS/IoT/WoT 용어설명

인터넷(보안)환경의변화와영화속미래세상을

살펴보고, IoT기술/사물인터넷위협및사례를확인후

사물인터넷보안의고려사항을살펴보겠습니다.

마지막으로, 이를통해사물인터넷보안의고려사항을

각자생각해보시면좋을거같습니다.

발표 개요

정보보호

[정보보호]의사전적의미

정보의수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신ㆍ수신중에정보의훼손ㆍ변조ㆍ유출등을방지하기위한

관리적ㆍ기술적수단, 또는그러한수단으로이루어지는행위

- 목적 : 고객의자산을보호하고허용가능한위험수준까지낮추는것

- 책임 : 외부위탁으로수행되는정보서비스에대한정보보호의궁극적인책임은위탁서비스사용업체에있음

- 조직문화에의해제한을받고정보보호는포괄적이고통합적인접근방법으로접근되어야함

- 정보보호는조직의관리활동에있어적절한주의의무(due care)에포함되어야함

용어의 정의

그림으로보는정보보호개념

해당 기관에서 직원 및 이용자의 자산(시스템, 개인정보, 기업 기밀, 영업비밀..)을

안전하게 지키는 행위!

사이버 공격, 위협, 변조,침해 요소

(사회공학적 기법 포함]

국가[안전한 세상 만들기]

개인(삶의 가치)

수호신(방패)기업

(자산과 정보 지키기]

KCB

용어의 정의

용어의 정의 CPS란? (CPS, Cyber-Physical System)

CPS는모든사물들이서로연결되어정보를교환하는사물인터넷(Internet of Things)에서컴퓨팅과물리세계가네트워킹을통해유기적으로융합되어사물들이서로소통하며자동적, 지능적으로제어되어지는시스템

IoT / WoT 관련 용어

IoT: 물리적 세계와 정보 세계를 아울러 “연결”된 인프라(즉, 모든 사물에서 네트워크연결을 제공하는네트워크의네트워크)[참고] 가트너 연구결과: 2009년까지사물의 개수는 9억개

2020년까지사물의 개수는 260억개

WoT: 사물 웹(web of things, WoT)이란물체들이 인터넷을통해 연결되어있을 뿐만 아니라 물체가 형상화되어웹에 연결됨예를 들면 냉장고 내에 보관되어있는 식품들이바뀔 때마다 냉장고가 알아서인터넷 웹에 바뀐 정보를 게시

용어의 정의

용어의 정의

CPS

국방무기체계, 자동차, 무인기, 무인자동차등의고신뢰의소프트웨어로통제되는기술(폐쇄형시스템)

‘스마트팩토리’라고표현하기도함

IoT

센서를통해아이의기저귀를갈아주거나어르신이빙판길에넘어실때위치정보를보내는기술(개방형시스템-사람이없이사람을연결시켜주는기술)

‘1965년 이정문 화백이 그린 미래 상상도

인터넷(보안)환경의 패러다임

시대변화에 따른 모바일시대

인터넷(보안)환경의 패러다임

타임라인을 통한 사물인터넷(IoT) 검색어

인터넷(보안)환경의 패러다임

IoT 기술

사물인터넷 오픈 플랫폼/서비스 기술

통신/네트워킹 기술오픈 플랫폼/API/서비스 API 기술신뢰성/보안/프라이버시 기술

저전력디바이스/센싱빅데이터기술지능화기술

IoT 필요한주요기술

개방형 IoT 생태계

①웹개발자

②플랫폼사업자③사용자

④서비스제공자

⑤기기개발사

⑥광고주⑦통신사업자

⑧단말사업자

IoT 기술

IoT 보안기술 정의

IoT 기술

디바이스 네트워크 플랫폼/서비스

•개방형플랫폼에서의기기및사용자인증방안마련

•키은닉암호, 실제적안전암호기반플랫폼구축

•클라우드, 빅데이터환경에서의익명화기술적용

•초연결 T2T 단대단신뢰통신보안

•초연결사물네트워크해킹감시∙대응및보안관리

• IoT 악성트래픽탐지∙대응

•디바이스생명주기별단계보호방안마련

•다양한기기맟춤형저전력보안 HW모듈및운영체제

•디바이스간상호인증/ 접속제어

영화를 통한 사물 인터넷 엿보기(1) : 89년 백투더퓨쳐 2 (26년전 미래환경) [ 1/4 ]

영화속 미래세상 엿보기

미국의테라푸지아 – TF-X

- 최대 4명탑승- 500마일(약 804km)의 연속비행

영화를 통한 사물 인터넷 엿보기(1) : 89년 백투더퓨쳐 2 (26년전 미래환경) [1/4]

영화속 미래세상 엿보기

영화속 미래세상 엿보기

나이키 – 2015년 출시예정

영화를 통한 사물 인터넷 엿보기(1) : 89년 백투더퓨쳐 2 (26년전 미래환경) [2/4]

영화속 미래세상 엿보기 영화를 통한 사물 인터넷 엿보기(1)

: 89년 백투더퓨쳐 2 (26년전 미래환경) [3/4]

스마트홈 시대(지문 인식 자물쇠, 가정기기 음성인식)

미래세계에 온 제니퍼(지문인식)

구글글래스

휴버테크-호버보드

영화속 미래세상 엿보기

전자안경(온도측정, 영화 보기)

영화를 통한 사물 인터넷 엿보기(1) : 89년 백투더퓨쳐 2 (26년전 미래환경) [4/4]

영화를 통한 사물 인터넷 엿보기(2) – Timer 2010년 개봉작

당신의 반쪽을 찾는다면타이머는 예측가능 합니다.

당신의 반쪽을 찾는다면타이머는 예측가능 합니다.Timer는 100% 정확합니다.

[주의: 타이머 장착은 딱 한번 밖에 못한다고 합니다.]

당신은 어떤 선택을 하시겠습니까?

1. 타이머기기가 없어도 자신의 반쪽을 찾고 싶다.2. 타이머기기를 장착하고 자신의 반쪽을 기다리고 싶다.

영화속 미래세상 엿보기

IoT 보안 위협(Internet of Broken Things)

• 많은 요소기술의 통합으로 인한 보안 취약성 발생

• 여러 주체로 인한 높은 보안/프라이버시 보호 책임 부재 및 통합 보안의 문제

• IoT 디바이스에 대한 해킹 공격

• 네트워크 통신의 도/감청

• 개인정보에 대한 자기정보통제의 어려움

• 법 제도적 문제

Layer에 따른 보안 위협

IoT 보안 위협

IoT 기기별취약점및영향

-스마트전구와브리지간에지그비(Zigbee) 또는블루투스(BlueTooth)를이용하여통신하는경우, 변경불가한비밀번호(Static Password)가사용되는문제발생

-월패드의관리자웹페이지파라미터를조작하여버퍼오버플로워를발생시킬수있음

-CCTV 펌웨어의업데이트를인위적으로조작하여비정상적으로설치되는문제발생할수있음

IoT 보안 위협

제품 취약점 공격 영향

스마트전구

월패드

네트워크카메라(CCTV)

변경불가능한비밀번호

중간자공격으로비밀번호를획득하여비인가명령실행

전구가원격에서제어됨

메모리영역침범

펌웨어 무결성미검사

파라미터값을조작하여쉘코드실행

변조한펌웨어를디바이스에

강제 업데이트

연결된CCTV를통해사생활감시, 도어락을오픈시켜거주지침입

CCTV가 좀비 기기로활동하게 되면서 주변기기에 2차 피해 발생

사물인터넷제품(체중계)를통한보안취약성

IoT 보안 위협

IoT 보안 위협

홈서버해킹을통한댁내가스밸브원격개방

해커

IoT 보안 위협

악성코드가 감염된 차량진단 앱을 통한 자동차 원격제어

해커

IoT 보안 위협

교통정보수집센서해킹을통한신호제어

해커

기업 모바일 서비스 가짜 악성앱

문자송수신, 로그읽기, 오디오설정수정등악성 행위에필요한퍼미션요구

[출처: 악성앱분석_고려대학교산학협력단_KISA-WP-2014-0033]

IoT 보안 위협

CIA

대기업 본사 : 출입 리더기 연동으로 인한 위협

[사례] L. Grunwald, RF-ID and Smart-Labels: Myth, Technology and Attacks, Blackhat

Breifings 2004, Las Vegas, July 2004. Available at http://rf-dump.org

태그정보추출RFID 보안취약성관련최초시연13.56MHz 태그정보추출후동일태그복제관련소프트웨어가모두공개되어있음http://rf-dump.org

- 보통출입리더기의경우 RFID 방식으로대기업에서는대부분서버인증으로작동하며별도의보안프로토콜을사용하나, RFID 만의복제위험성은존재함.

IoT 보안 위협

대부분 RFID 방식 사용

-고정 ID 방식 : 100% 복제가능(국내에는 Passive 방식인고정ID 많이사용-통신확인표방식: 리더기에특정값을던지면출입카드가그걸연산하여값을리턴하는데출입카드마다알고리즘이다른형태임

IoT 보안 위협

참고자료: NFC + RFID + 블루투스 차이점

구분 NFC RFID 블루투스

통신거리/방식 10cm이내 1~2m 1~100m

주파수대역 13.56 Mhz 900MHz 2.4G

특징양방향통신

(읽기/쓰기)

일방향통신

(읽기만가능)양방향통신

보안성 High Low Middle

서비스분야결제, 정보접근,

공유(P2P) 등

정보접근

(data Access) 등정보공유등

IoT 보안 위협

윤리적마인드위협요소

비인가된사용,복제,배포,판매

지적재산 위조소프트웨어

해적판소프트웨어

공정사용원칙

저작권

노래,영화,비디오게임등에대한법적보호

무형의창작물을유형화하는수단

특정상황에서의 저작권자료들의 합법적사용

진품처럼보이게제작판매되는 S/W

기술은 다른 사람들에 대한 행동을 지도하는 원칙과표준인윤리(Ethics)에새로운도전을제기

새로운도전

윤리적위협요소

기술진보로인해발생한윤리적인문제: 해킹사고및저작권침해와지적재산권관련된윤리적이슈들로인해모든

Business 분야에서많은노력이소진되며, 다양한정보유출사고도발생됨

IoT 보안 위협

IoT 위협에따른주요요점사항

IoT 보안 위협

TV·냉장고가일거수일투족감시…해킹땐사생활 100% 노출

사물인터넷, '살인' 무기로악용될가능성높아

스마트빌딩, 사물인터넷으로보안위협에노출

보안무시한사물인터넷 `재앙부른다`

IoT 보안 위협

보안문제가발생하는이유

공격받을 가능성=

{가치(돈, 쇼크, 과시, 정치적 목적, …)}𝟐

× 공격기회 × 공격의 용이성

성공한제품널리보급된제품지배적인서비스

(Consumerization)

취약점Zero-Day사람

IoT 기기가 좀비로 변하는 시대( 인터넷연결기기)

IoT 보안 유출 사례

2014.11.29일 SK브로드밴드와 LG유플러스망에나타난분산서비스거부공격당함

공격자는좀비 PC를이용해대규모디도스공격을일으켰지만최근에는방법이한단계진화했다. 가정용무선공유기를비롯해냉난방공조장비등 PC가아닌인터넷에연결된모든기기를이용한다. IoT 공격현실화다. 이번디도스사건에는가정에서주로쓰는무선공유기가이용됐다. 무선공유기는기본적인보안솔루션인안티바이러스도설치되지않은데다관리주체가불분명하다. 대부분사용자는무선공유기초기설정을변경하지않은상태로사용한다.

IoT 시대는해킹할수있는단말이늘어난다. 인터넷에연결되는냉장고청소로봇, 의료기기등모든기기는해킹대상이다. 문제는이들기기는메모리와중앙처리장치(CPU) 등의하드웨어스펙이낮아백신, 암호화, 인증등고품질의보안기술을적용하기가힘들다. 보안패치가힘들고통신내용을모니터링하기어려워보안취약점이증가한다.

복잡한네트워크구조도 IoT 취약점이다. 와이파이, 블루투스등이종무선네트워크가상호연동되면서일정한보안수준을유지하기어렵다.

사물인터넷기기의미흡요소

- 비밀번호변경할수없거나변경하지않음

- 하드웨어스펙이낮아백신,암호화,인증구현어려움

- 보안패치및통신내용모니터링분석어려움

- 복잡한네트워크구조로인해분석어려움

출처:전자신문_ 2014.12.04

악성 앱 설치를 통한 유출 사례_실전해킹사례(사회공학적 기법)

IoT 보안 유출 사례

악성.APK 생성(재미있는 게임)

스마트폰 해킹 동영상 실전 사례 (실시간 찍기)

IoT 보안 유출 사례

NFC를 활용한 개인정보 유출

IoT 보안 유출 사례

NFCProxy 를활용한정보유출 Flow

IoT 보안 유출 사례

Secure Coding 적용

개발 업체 및 개발자의 보안 마인드 변화 필요

침해사고 이상징후를 발견시 관리자 통보기능

스마트 기기 보안성 평가 제도 마련

사물인터넷과 연계된 개인정보 보호 대책 필요

사용자인증 및 경량화 암호 기법 적용 필요

사물인터넷기기 및 센서 설치나 유지보수 업체

보안 교육 필요(시스템 패치,모니터링 능력 강화)

사물인터넷 보안 고려사항

사물인터넷 보안 고려사항

사물인터넷 관련 법규 검토 필요

사물인터넷 /빅데이터 분석 전문가 양성 필요

사물인터넷 센서의 배터리 문제

사물인터넷 기기의 데이터 전송량 검토 필요

사물인터넷 기기의 디바이스 분석 연구 필요

사물인터넷 관련 표준규격 검토 필요

사물인터넷 기기 개발업체 및 유지보수 업체

수탁자 관리감독 철저

(결론) 사물인터넷 보안 고려사항

경량화된암호화기법적용

PC와 같은높은수준의보안기법을적용하기어려움

통합보안기술개발

전세계적으로통합된자동화된식별자발급및관리체계가필요

사용되는 단말 및 각종 단말에 사용되는 서비스 환경,운영체제들은굉장히다양

전방위적보안시스템구축

주로외부공격자에대한대응책에만치중

실시간통신상태

점검, 문제 발생 시 즉각적인 복구 가능을 위한 체계적인보안설계가필요

IoT 기기해킹시 개인정보 문제는 어떻게 될까요?

개인정보?• 개인정보는정보주체를인식할수있는직접적인정보

• 다른정보와결합하여정보주체를식별할수있는정보

개인정보문제의발생원인• Connected Device

• 인터넷과직접연결된기기뿐만아니라매개체를통한간접연결기기

관리적/기술적/물리적관점의문제점을고민할필요가있음(개인정보보호관점)

[생각하기]