in

보안성을 떨어뜨리는 10개의 IoT 보안 사건

사물인터넷(IoT)이 사이버 범죄자들의 주요 타깃이 됐다. IoT 기기에서 반복되는 보안 사고는 IoT 공격의 증가 추세를 나타낸다.

소비자, 기업 및 의료 기관에서 연결된 기기의 확산과 그 내부 취약성은 사이버 범죄자들이 웹캠, 스마트 TV, 라우터, 프린터, 그리고 스마트 홈과 같은 장치를 절충하기 위해 제로 데이 공격을 시작할 수 있는 보안 사각지대를 만들었다.

연결된 장치에 의해 생성된 10개의 심각한 위협 목록:

1. 스마트 보안 카메라

샤오미 미지아의 취약성이 노출된 이후 스마트 보안 카메라의 사이버 보안 문제가 고객들에게 경종을 울린 것으로 보인다. 이 사건은 자신의 집 주변에 구글 네스트 허브와 몇몇 다른 샤오미 미지아 카메라를 소유하고 있는 디오V가 자신의 카메라에서 구글 네스트 허브로 콘텐츠를 스트리밍할 때 무작위로 다른 사람의 집으로부터 이미지를 받았다고 주장한 이후 밝혀졌다.

“내가 구글 홈 허브에 샤오미 카메라를 장착할 때, 나는 다른 사람들의 집에서 스틸을 얻습니다,”라고 디오-V는 말했다.

스마트 보안 카메라가 문제를 일으킨 것은 이번이 처음이 아니다.

아마존이 소유한 가정용 보안제품 업체인 링(Ring)은 미국 내 보안카메라에 여러 건의 해킹 사건이 발생해 피해자들이 정신적 충격을 받았다는 보고로 집단소송을 당했다.

사이버보안업체 비트디펜더의 보안 연구진이 아마존의 링 비디오 도어벨 프로의 결함을 발견하고 보고했는데, 이 결함은 해커들이 사용자의 Wi-Fi 네트워크에 무단으로 접속하게 하고 잠재적으로 그 위에 있는 다른 연결된 장치에 접속하게 할 수 있었을 것이다. 현재 모든 링 도어벨 카메라는 이 문제를 완화하기 위해 아마존으로부터 보안 패치를 받았다.

또한 취약성 탐지 회사 테너블의 연구원들은 아마존 소유의 블링크 XT2 보안 카메라 시스템에서 일곱 가지 중요한 취약성을 발견했다. 이 취약성이 악용되면 해커들이 카메라 영상을 원격으로 보고, 오디오 출력을 듣고, 감염된 장치를 이용해 분산서비스거부(DDoS) 공격을 시작할 수 있다.

이에 아마존은 취약성에 대한 패치를 배포하고 사용자에게 펌웨어 버전 2.13.11 이상으로 기기를 업데이트할 것을 촉구했다.

2. 해커는 연결된 팩스기를 “팩스플로잇”할 수 있다

Check Point의 보안 연구원인 Yaniv Balmas와 Eyal Itkin은 팩스기가 전화선과 팩스 번호만 사용하여 해커가 회사 네트워크를 통해 데이터를 훔칠 수 있는 보안 취약성을 가지고 있다는 것을 발견했다. 연구원들은 또한 DEFCON 26 컨퍼런스에서 휴렛 패커드 올인원 프린터의 보안 결함을 어떻게 활용할 수 있었는지도 보여주었다.

잠재적 위협을 설명하면서, 연구원들은 공격자들이 특별히 만들어진 악성코드를 팩스를 통해 대상 네트워크에 전송할 수 있다고 말했다. 팩스기의 취약성은 악성코드가 파일을 디코딩하여 메모리에 업로드할 수 있게 하여 민감한 정보를 침해하거나 연결된 네트워크 전체에 지장을 초래할 수 있다.

3. 스마트 TV

FBI에 따르면 스마트 TV는 여러 가지 보안 문제를 간과하고 방치해 왔다. 그것은 보안이 몇몇 스마트 TV 제조업체들에게 여분의 생각이라고 말했는데, 이것은 그들을 다른 종류의 위협에 취약하게 만든다. 해커들은 채널이나 볼륨 컨트롤을 바꾸기 위해 보안되지 않은 TV를 제어할 수 있을 뿐만 아니라 통합 카메라와 마이크를 사용하여 일상적인 움직임과 대화를 스토킹할 수 있다.

4. 스마트 전구를 해킹할 수 있다

복수의 보고서에서는 스마트 전구의 보안 취약성이 밝혀졌다. 미국 샌안토니오(UTSA) 텍사스대 무르투자 자들리왈라에 따르면 해커들은 전구에서 방출되는 적외선 보이지 않는 빛을 통해 적외선 스마트 전구를 손상시켜 홈 네트워크에 존재하는 다른 연결된 IoT 장치를 이용할 수 있다.

5. 스마트홈은 취약함

밀워키에 본사를 둔 한 커플은 알려지지 않은 침입자들에 의해 스마트홈이 해킹당한 후 끔찍한 사고를 당했다고 폭스 6 뉴스가 보도했다.

사만다와 라몬트 웨스트모어랜드 부부는 해커들이 연결된 장치를 손상시켜 스마트 홈을 차지했다고 말했다. 범인은 부엌의 카메라를 통해 그들과 대화하면서 비디오 시스템의 방해 음악을 대량으로 연주했고, 또한 온도조절장치를 이용해 실내 온도를 화씨 90도로 바꾸었다.

당초 부부는 기술적 결함으로 보고 비밀번호를 바꿨지만 문제는 계속됐다. 이 두 사람은 나중에 누군가가 그들의 와이파이나 네스트 시스템을 해킹했다는 것을 깨닫고 네트워크 ID를 바꾸었다.

6. 스마트폰 마이크로폰으로 음향 측면 채널 공격 개시 가능

영국과 스웨덴의 학자들은 스마트폰의 마이크를 이용하여 이 장치의 암호와 코드를 훔칠 수 있는 악성코드를 고안했다.

연구진은 ‘터치 듣기: 스마트폰의 새로운 음향 사이드 채널’ 보고서에서 사용자가 터치스크린 기기에 무엇을 입력하는지 보여주는 음향 측면 채널 공격을 처음 발견했다고 주장했다.

7. 해커들이 커피 머신에서 당신의 신분과 은행 세부 정보를 훔칠 수 있다.

특수 앱을 이용해 인터넷에 접속하는 스마트 커피기기는 해커들이 주인의 은행이나 카드 정보를 빼내갈 수 있다.

보안 대기업 아바스트의 최고 경영자인 빈스 스테클러는 스마트 커피 머신은 소유주들이 그들의 전화를 사용하여 원격으로 그들을 통제할 수 있게 한다고 말했다. 사용자들은 심지어 그들이 아마존의 알렉사와 같은 가상 보조 소프트웨어에 연결되어 있다면 이 기계들에게 음성 명령을 내릴 수도 있다.

“커피 기계는 보안을 위해 고안된 것이 아니다. 그것들은 당신의 네트워크에 들어가기 위한 추가적인 벡터들이다. 그리고 그들을 보호할 수 없다”고 스테클러는 언론 성명에서 말했다.

8. 연결된 프린터

보안조사업체 Quocira에 따르면, 조직의 네트워크에 연결된 프린터는 사이버 공격의 잠재적 벡터라고 한다. Quocira는 “글로벌 프린트 보안 경관, 2019년” 보고서에서, 연결된 프린터에 의해 야기되는 잠재적인 보안 취약점을 다루었다.

이 보고서는 영국, 미국, 프랑스, 독일의 60%가 2019년에 인쇄 관련 데이터 침해로 어려움을 겪었고, 이로 인해 기업들이 평균 40만 달러 이상의 손실을 입었다고 강조했다.

9. 스마트 스피커를 해킹할 수 있다

텐센트 블레이드의 보안 연구원 우희유와 첸 웬샹은 이날 DEFCON 보안회의에서 스마트 스피커 해킹 방법에 대한 실증 실험을 통해 스마트 스피커 주변의 취약성을 노출했다. 그 팀은 그들의 공격 프로그램을 발표하기 위해 Amazon Echo 스마트 스피커를 사용했다.

연구진은 공격 프로그램이 내장된 악성 기기를 추가해 스피커를 해킹했다. 이들은 또 발표 전에 조사 결과를 아마존에 통보했고, 아마존은 이 문제를 해결하기 위해 보안패치를 추진했다.

10. 인터넷 연결 가스 스테이션도 취약함

트렌드 마이크로 연구진은 해커들이 IoT 기반의 사이버 공격을 개시하기 위해 인터넷 연결 주유소를 목표로 하고 있다는 사실을 발견했다.

트렌드 마이크로(Trend Micro)는 “사이버 범죄 지하의 사물 인터넷” 보고서에서 러시아 해커들이 러시아의 모든 전기 계량기를 스마트 미터로 교체하도록 명령하는 러시아 정부의 새로운 명령으로 인해 어떤 이득을 얻었는지를 설명했다. 트렌드 마이크로(Trend Micro)는 러시아 다크웹포럼의 해커들이 스마트 미터 이용 방법에 대한 정보를 요청했다고 밝혔다. 일부 해커들은 심지어 지하 시장 포럼에서 변형된 스마트 미터기를 팔고 있다. 연구원들은 또한 연결된 계량기를 해킹하는 방법에 대한 단계별 절차를 포함한 가스 펌프 해킹에 대한 튜토리얼을 본 적이 있다고 밝혔다.

루드라 스리니바스는 CISO MAG의 편집팀의 일원으로 사이버 보안 동향과 뉴스 기능에 대해 글을 쓴다.

Written by adminmhe

Leave a Reply

Your email address will not be published. Required fields are marked *

이 자율 보안 드론은 당신의 집을 보호하기 위해 고안된 것이다.

사이버 보안 전문가: 비상 시 데이터를 안전하게 공유하는 방법