IoT 기기의 보안 리스크란

IoT 기기의 보안 리스크란

먼저 IoT 기기에 대한 위협(어떤 보안 위험이 있는지)을 소개하는데요.

기기의 제어가 납치되어 악용되는 리스크

인터넷에 접속하고 있다는 것은, 유저 뿐만이 아니라 악의적인 자(이후, 공격자라고 부릅니다)도 전 세계에서 사이버 공격할 수 있다는 것으로 통신에 사용하는 소프트웨어나 OS 버전 등 공격 방법의 조사도 인터넷을 통해 할 수 있는데요.

기업 활동의 유지나 사회 인프라의 유지와 관련되는 시스템(산업용 로봇, 플랜트 제어 등)이나, 인명과 관련되는 시스템(자동차, 의료기기 등)의 인수는 큰 피해로 연결됩니다.

기업 활동의 정체나 정지(제품의 납품 지연, 생산 설비의 파손 등), 활동 재개를 볼모로 한 금전의 요구(랜섬웨어에 의해 중요 데이터를 암호화해 사용할 수 없게 하는 등), 나아가 테러 행위(자동차를 폭주시키거나 의료기기를 정지시키거나)로도 이어질지도 모릅니다.

구체적인 예로는 테슬라 자동차를 원격 조작할 수 있는 해킹을 들 수 있습니다.여러 취약성이 소개돼 있지만 차량 식별번호만 알면 다른 사람의 차량 정보를 훔치고 더 마음대로 조작하는 것도 가능했던 것 같습니다.

개인정보나 중요정보가 누출될 위험

개인정보 등 중요정보를 취급하는 기기가 IoT화되어 인터넷으로 연결되면서 새로운 리스크가 발생하고 있습니다.중요정보는 위치정보나 성명과 같은 직접 개인을 특정할 수 있는 정보뿐만이 아닙니다.

방범 카메라 영상에는 설치 장소의 주소를 암시하는 내용이 포함되며, 통행인의 얼굴이나 지나간 자동차의 번호도 남을지도 모릅니다.스마트 스피커에는 검색 이력이 축적되고 가정 내 소리를 모을 수도 있습니다.온라인 쇼핑몰에서 상품을 구입할 수 있는 계정 정보가 남아 있을 가능성도 있습니다.스마트워치에는 개인의 건강상태가 기록되어 있습니다.

공격을 받으면, 전 세계로부터 자택내의 사적인 영상을 보여 버리거나(방범 카메라의 취득), 마음대로 자신의 카드로 쇼핑을 당하고 마는(스마트 스피커로부터 통신판매 사이트의 어카운트 정보가 누설된다)지도 모릅니다.

개인정보 유출의 구체적인 예시로 Insecam이라고 하는 웹 사이트를 소개합니다.이것은 공장 출하시의 패스워드 설정을 그대로 두고 인터넷에 연결해 버린 Web 카메라에 침입해, 그 영상을 실시간으로 제공하고 있는 사이트입니다.2021년 현재 일본에만 1,600대 이상, 세계에서 10,000대가 넘는 카메라가 등록돼 있었습니다.

발판으로 이용되어 악질적인 공격에 가담해 버리는 리스크

중요한 역할을 하지 않고 중요 정보도 가지지 않는 IoT 기기라면 보안 위험은 없는 것일까요?

아니요. 안타깝게도 인터넷에 연결되어 있기만 해도 공격할 가치가 생겨 버립니다.다른 네트워크 기기를 공격하는 발판으로 이용할 수 있기 때문입니다.

에어컨 조명 TV 냉장고 같은 개인 가전도 라우터나 파일 서버 같은 네트워크 장비도, POS나 공항 안내판도 인터넷에 연결만 되면 공격의 대상이 될 수 있습니다.

봇넷(BOT화한 기기의 모임으로 구성되는 네트워크.BOT화란 악성코드 등에 감염됨으로써 기기가 납치되어 악의 있는 자에 의한 명령을 받는 상태가 되는 것)의 일부로서 세상의 서버를 공격하기 위해 악용되거나 공격의 경로를 속이기 위해 네트워크 경로의 일부에 편입되거나(발판 공격), 스팸메일(스팸메일)을 배송하는 서버로 꾸며질 가능성도 있습니다.

몇 년 전에 큰 뉴스가 된 Mirai라는 말웨어는 봇넷을 만들기 위한 것이었습니다.가장 감염이 확산된 것은 2017년인데 2020년 관측에서도 일본 내에 1,000대 안팎, 세계에서 1,000대가 넘는 감염기기가 있을 것으로 보입니다.