사물인터넷은 자동차에서 무선 웨어러블 기기까지 수많은 연결 기기들의 총체를 지칭하는 용어다. 시스코의 인터넷 비즈니스 솔루션 그룹은 전세계적으로 2010년 기준 125만개의 연결 기기가 있으며 2015년 250만개로 늘어날 것으로 전망했다.

이러한 시장 확대를 고려할 때, CSO들은 내년에 사물인터넷 기기들이 직면할 5가지 위협들을 꼽았다. 이 문제와 회사에 미칠 잠재적 피해에 대해 인지하는 CSO들은 다음과 같이 대비할 수 있을 것이다.

 

차량 내부 와이파이(In-Car WiFi)
비전게인(Visiongain, LTD)의 애널리스트들에 따르면, 2013년 기준 커넥티드 카(connected car) 관련 분야의 매출은 217억 달러였다. 2014년 이는 더 늘어날 것으로 예상됐다. 올해, 포드와 GM은 차량 내부 와이파이 시스템을 확대해 나갈 것이다. SANS 인스티튜트(the SANS Institute) 관계자인 존 페스카도레는 이를 통해 차량 내 모바일 핫스팟으로 사용자의 스마트폰, 태블릿 등의 전자기기를 인터넷에 연결시킬 수 있게 될 것이라고 말했다.

 

하지만 차량 내부 와이파이는 일반적인 와이파이 핫스팟과 마찬가지로 보안 취약점이 있다. 따라서 소기업 와이파이 시설에 연결된 방화벽이 없는 경우, 차량 내부의 네트워크를 공유하는 기기와 데이터는 위험에 처하게 될 것이다. 일단 네트워크에 침투하게 되면 차량 시스템에 대한 권한을 해커가 취득하기 때문에(spoofing) 온스타 서버(OnStar servers)와 같은 외부 데이터 소스에 접속하게 되며 차주의 신용카드번호와 같은 개인정보를 취득하게 된다고 페스카토레는 설명했다. 이는 한 가지 예시에 불과하다. 해커가 차량 내부 와이파이, 사용자 기기, 스푸핑(spoofing)을 통한 차량의 식별정보 등을 취득했을 때 나타날 수 있는 공격의 종류는 상상하기 어려울 정도로 많다.

 

프레션터 솔루션즈(Preiscient Solutions)의 제리 어빈은 “출장을 자주 다니는 기업의 CISO들과 CSO들은 이러한 취약성에 대해 우려해야 할 것이다. 이는 해커들이 전산공격을 통해 기업의 정보를 얻을 수 있기 때문이다”라고 말했다.

 

모바일 헬스(mHealth) 애플리케이션/모바일 의료 기기
ABI 리서치의 수석 애널리스트인 조나단 콜린스는 “스포츠, 의료, 모바일 헬스(mHealth)분야의 웨어러블 무선 기기 시장은 2013년 420만 달러에서 2018 년 1,710만 달러로 성장할 것으로 보인다”라고 전망했다. 뉴스타(Nuester)의 수석 기술자인 로드니 조프(Rodney Joffe)는 2014년 기준으로 해커들은 점차 심박조율기(pacemaker) 등 윈도우 기반의 모바일 의료 기기를 공격하게 될 것이라고 말했다. 전통적인 제조업체들은 해킹하기 어려운 독자적인 임베디드 시스템을 이용하고 있다. 이는 소스코드와 폐쇄성과 제약사항으로 인한 것이다. 하지만 비전통적 기기 제조업체들도 윈도우의 형식을 이용하는 경우가 많다.

 

“윈도우는 이러한 기기들에서 매우 대중적으로 쓰인다. 비용이 저렴하고 어디에서나 쓸 수 있으며 프로그래머들에게도 잘 알려져 있기 때문이다”라고 조프는 설명했다. 하지만 데스크톱 컴퓨터의 윈도우에서와는 달리, 이러한 기기들은 원도우에 대한 패치 매커니즘(patching mechanism)은 부재한 실정이라고 조프는 지적했다. 와이파이의 무선주파수를 통해 인터넷에 접속하는 이러한 기기가 늘어날수록, 이들 기기에 더 많은 바이러스가 퍼지게 될 것이다.

 

CSO들은 이러한 기기들에 대한 원격 접속에 관심을 가져야 할 것이다. 왜냐하면 직원, 건강 정보 유출은 물론 조직의 재무 건전성에 영향을 주려는 목적으로 주요 정보들을 공격할 가능성이 있기 때문이다.

 

웨어러블 기기와 구글 글래스
전세계적으로 웨어러블 기기 시장 규모는 2013년 46억 달러며 2014년 상승세가 예상된다고 비전게인(Visiongain, LTD)은 전망했다. 웨어러블 기기 시장에서 구글 글래스와 같은 제품의 등장은 파급력이 클 것으로 여겨진다. 그 이유는 이들 기기가 자동으로 인터넷에 접속하기 때문이다. 또한 웨어러블 기기에 사용할 수 있는 보안 솔루션이 거의 없기 때문이기도 하다.

해커들이 구글 글래스를 해킹할 경우 기업 기밀과 지적 재산을 취득할 수 있다. 기존에는 구글 글래스 착용자가 기업 내에 여러 사무실을 돌아다니면서 어떠한 종류의 데이터를 얼마나 많이 취득하는지에 대해 알지 못했다. 해커는 해킹을 통해 구글 글래스로부터 소리와 영상을 얻을 수 있다.

 

“모든 기업은 웨어러블 기기에 대한 보안정책을 수립해야 하며 이를 통해 웨어러블 기기의 사용 용도와 사용 시점에 대한 명확한 사용 가이드라인을 수립해야 한다”고 어빈은 말했다.

 

유통업 재고관리와 M2M
비전게인에 따르면, 전세계적인 무선 사물통신(M2M) 시장 규모는 2013년 501억 달러에 달했다고 한다. 2014년에는 재고관리 관련 기술제품이 저렴한 3G 무선 데이터 송신기를 포함하는 경우가 늘어나게 될 것이다. 이들 송신기를 통해 인터넷에 접속하기 때문에 인터넷 기반의 보안공격에 대한 취약성이 늘어난다고 페스카토레는 설명했다.

 

“M2M 기기는 복잡한 기기가 아니기 때문에 감지(detection) 기능, 통계적 정보 취합, 원격 관리 등이 가능하다”라고 어빈은 말했다. 보안 솔루션을 통해 기기에 대한 염탐을 방지할 수 있을 가능성이 적다.

 

새로이 도입되는 3G 송신기의 목적은 언제나 실시간으로 위치정보를 보고하기 위함이다. 하지만 정치적 해커(hacktivists)들은 일반적으로 디도스 공격을 통해 공격 대상 사이트에 대한 부하를 가중시킬 것이며 송신기를 통해 나오는 정보를 중간에서 가로채 서버에 월마트와 같은 유통기업에서 축구공 재고가 부족해지고 있다는 거짓 정보를 전달하게 될 것이다. 그리고 이로 인해 각지의 월마트 점포에는 엄청나게 많은 양의 축구공이 납품되는 일이 벌어질 것이라고 페스카토레는 말했다. “아니면 기회를 이용하고자 하는 정치적 해커들이 콘플레이크에 대한 발주를 늘리거나 줄여 켈로그와 같은 기업의 주가에 영향을 주는 상황도 초래될 수 있다”고 페스카토레는 덧붙였다.

 

민간의 드론(무인기)의 사용
2012년 2월 미국 의회는 FAA 현대화 개혁 법안을 제정하여 무인기에 대한 규정을 마련하고 이를 통해 FAA가 2015년까지 신속히 UAV 및 드론을 영공 체계 내에 포함시키도록 하였다. 인클루드 시큐리티(Include Security, LLC)의 매니징 파트너인 에릭 카베타스는 “드론은 5년 내로 상당히 보편화 될 것이다”라고 말했다. 따라서 CSO들도 드론의 보안을 확립하기 위한 계획을 수립해야 할 것이다.

“드론은 취약성이 높은 원격측정제어(telemetry) 신호에 의존하며 따라서 공격자들이 버퍼 오버런(buffer overruns), 포멧 스트링(format strings), SQL 인젝션(SQL injections)과 드론 펌웨어에 존재하는 승인 우회(authentication bypasses)와 같은 전통적인 공격으로 드론을 이용할 수 있다”고 카페타스는 설명했다.

 

기록상으로도 이미 드론에 대한 공격이 이뤄진 사례를 찾아볼 수 있다. 2009년 중동에서 민병대가 프레데터 드론(Predator drone)의 신호를 가로챈 적이 있다. 이는 보안이 취약한 프로토콜을 이용했기 때문이라도 카베타스는 말했다. 이를 통해 민병대는 드론 내장 카메라를 통해 촬영되는 정보를 염탐할 수 있었다. 따라서 프로토콜의 보안성이 담보되지 않은 상태에서라면 국내에서라도 UAV의 사용에 있어서 유사한 공격이 발생될 수 있는 것이다.

 

2012년에는 미국 국토안보부의 초청을 받은 텍사스 A&M 대학의 학생들이 해당 대학에서 운영하는 드론의 GPS 신호를 도용(spoof)하여 내비게이션 컴퓨터에 잘못된 위치정보를 전달하게 되었으며 이로 인해 드론이 추락한 적이 있다고 카베타스는 설명했다.

“2012년 드론 프로그래밍 대회인 드론게임(DroneGames)에서 우리가 전혀 예상하지 못한 일이 일어났다. 대회의 승리 팀은 바이러스에 감염돼, 근접하려는 모든 드론에게 바이러스가 전염되도록 하였다”라고 카베타스는 말했다. 드론의 펌웨어가 가진 동질성으로 인해 동일한 보안 취약성을 갖게 되며, 해커들은 하늘을 떠도는 UAV들을 쉽게 해킹할 수 있게 된 것이다.

 

수년 내로 드론은 물리적 모의침투 테스팅(physical penetration testing), 기업 스파이 행위 및 해커 공격 행위에 대한 표준 요소로 부상하게 될 것이라고 카베타스는 말했다. “공격자들이 창문 밖에서 촬영한 고해상도 정지화상과 동영상을 취득하여 포스트잇에 부착된 암호나 다른 기밀 정보를 취득할 수도 있다. 또는 도청 목적으로 고음질 마이크를 회의실이나 CEO 집무실 외부에 심을 수도 있다”라고 카베타스는 주장했다.