2015 isaca conference_io_t_case_150904

2015 ISACA Korea 2015 ISACA Korea ConferenceConference

사물인터넷 (IoT) 시대의 정보보호와 Cybersecurity

Jang-Mook Kang | Jang-Mook Kang | Prof. Prof.

Korea University Korea University Dep. Of ComputerDep. Of Computer

IoT IoT 기술과 보안 침해 사례기술과 보안 침해 사례- 일시 : 2015 년 9 월 4 일 ( 금 ) 13:00 ~ 13:4

0- 장소 : 신촌 연세대학교 새천년관

프로그램

1 장 . 사물 인터넷과 보안의 원리

출처 : http://regmedia.co.uk/2014/05/06/freescale_internet_of_things_overview_1.jpg

IoT 기술과 보안

• IoT 기술과 보안– IoT 의 의미

• IoT 기술이란 ?– The Internet of Things (IoT), which excludes PCs, tablets and

smartphones, will grow to 26 billion units installed in 2020 representing an almost 30-fold increase from 0.9 billion in 2009, according to Gartner, Inc.

– The Internet of Things is the network of physical objects that contain embedded technology to communicate and sense or interact with their internal states or the external environment.

– ( 사용자 제어에 의해 동작하는 스마트 기기뿐만 아니라 , 자원제한적인 센서를 포함한 모든 기기들을 인터넷에 연결할 수 있는 기술 )

– 출처– http://www.gartner.com/newsroom/id/2636073– Gartner Says the Internet of Things Installed Base Will Grow to 26

Billion Units By 2020, STAMFORD, Conn., December 12, 2013

http://www.gartner.com/newsroom/id/2636073


• IoT 기술과 보안– IoT 와 관계

• 관계 맥락 보안



• 사물의 확장 ( 웨어러블 등 )

출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save



• 연결의 확장 ( 스마트 도시 등 )



• IoT 기술과 보안– 재연결 /재구성의 부재

• 가치 사슬마다 보안 취약 포인트



• IoT 기술과 보안– 바이오로 보는 사람에 대한 이해

• 나보다 나를 더 잘 이해하는 ?



• IoT 기술과 보안– 라이프 사이클과 보안

• 사물 인터넷의 에코 시스템과 라이프 사이클 맥락의 보안

출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345

부록

출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.

2 장 . 사물 인터넷의 보안 침해 사례

IoT 와 보안 침해 사례

• 보안 사례 1. - 다리미를 이용한 해킹 사례

사례: 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고 , 냉장고 , TV 등이 해킹돼 1 년간 75만 건의 스팸

메일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다 .

취약점 및 해결 방안: 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후 , 중요 모듈로 접근하는 방식을 취한다 . 이 때문에 기기 운영 환경의 보안과 기기 내

각 기능별 위협 확산 방지가 무엇보다 중요하다 .

출처 : http://www.boannews.com/media/view.asp?idx=42947



• 보안 사례 2. - 다리미를 이용한 해킹 사례

사례: 2013년 10월 경 , 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고 , 냉장고 , TV 등이 해킹돼 1년간

75만 건의 스팸 메일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다 .

취약점 및 해결 방안: 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후 , 중요 모듈로 접근하는 방식을 취한다 . 이 때문에 기기 운영 환경의 보안과 기기 내

각 기능별 위협 확산 방지가 무엇보다 중요하다 .

출처 : http://www.boannews.com/media/view.asp?idx=42947



• 보안 사례 2. - 온도 조절 장치기능 : - Nest 사의 Thermostat 은 사용자의 시간별 /일별 선호 온도에 대한 학습기능을 갖춤– 부재중일 경우 , motion 센서를 사용하여 이를 감지하여 실내 난방중지 (Auto-Away 기능 )

기능에 따른 취약점 : 개인별 선호도 센싱 , 댁내 사용자 부재 여부 센싱 , 프라이버시 침해 문제- WiFi 연결 가능 , 스마트폰 앱으로 실내 온도 제어 가능출처 : http://www.krnet.or.kr/board/data/dprogram/1858/A1-3.pdf



• 보안 사례 2. - 온도 조절 장치

출처 : http://cfile4.uf.tistory.com/image/2367014954C8028B3F024E http://gift.kisti.re.kr/data/file/GTB/h210219/h210219_1340802161892.JPG

http://cfile4.uf.tistory.com/image/2367014954C8028B3F024E


• 보안 사례 3. - 배시 (Bash) 또는 쉘쇼크 (Shellshock) 버그사례: 웹캠을 비롯해 집 현관 로킹장치 , 자동차 대시보드 , 계산기 , 토스터 , 기타 많은종류의 IoT 기기가 대부분 배시를 실행하고 있음

취약점 및 해결 방안: 배시는 유닉스와 리눅스 기반 컴퓨터에서 명령 프롬프트와 비슷한 명령에

사용되는 쉘 코드이며 , 미 국립표준기술원은 1-10 등급 척도에서 쉘쇼크 버그가 확고한 10 등급 ( 가장 나쁜 등급 ) 이라고 평가함

쉘쇼크를 악용하기 쉬운 이유는 아무런 인증 없이 코드를 추가할 수 있기 때문에해커가 악용하기에 용이하고 , 어떤 부분이 악용되더라도 그 사실을 알아내는 것자체가 거의 불가능한 것으로 알려짐출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.


• 보안 사례 3.출처 : https://puppetlabs.com/sites/default/files/bash%20post%20image.pnghttp://blog.trendmicro.com/trendlabs-security-intelligence/shellshock-related-

attacks-continue-targets-smtp-servers/

https://puppetlabs.com/sites/default/files/bash%20post%20image.png


• 보안 사례 4.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 프라이버시 부문 정리


• 보안 사례 5.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 스마트 홈


• 보안 사례 6.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 네트워크


• 보안 사례 7.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 제어 시스템

( 냉난방시스템 통제 ) KISA 는 냉난방시스템 통제에 쓰이는 셋톱박스가 기업을 대상으로 한 디도스 (DDoS) 공격에 악용된 사례가 국내에서 발견되었다고 발표

( 산업용 제어시스템 ) 미 국토안보부는 최근에 인터넷에 연결되어 있으나 방화벽 , 인증접속제어 등으로 보호되지 않은 채 , 기계장비를 운용하는 산업용 제어시스템에 대한 사이버공격에 대해 경고


• 보안 사례 8.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 의료

( 인슐린펌프 ) ’12 년 블랙햇 보안 컨퍼런스에서 해커가 800미터 밖에서 인슐린 펌프를 조작하여 치명적인 복용량을 주입할 수 있음을 증명


• 보안 사례 9.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 교통

: 보안업체 IOActive Labs 가 Sensys Networks 의 도로차량 감지기술을 조사한 결과 , 광범위한 설계 및 보안 결함을 발견 .

특히 공격자는 센서를 가장해 교통관리시스템에 위조 데이터를 전송하거나 신호 등 같은 주요 인프라 통제가 가능


• 보안 사례 10.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 사이버 범죄

: 2014 년 6월 , 유로폴 (Europol) 은 올해 또는 수년 안에 자동차 , 의료기기 , 웨어러블 기기 등 IoT 기기를 해킹한 온라인 납치와 살인 등 사이버범죄 발생을 우려하며 , 정부에 대책방안을 요구

: 미 보안기업 IID 는 수년 안에 IoT 기기를 통한 사이버 살인범죄가 발생할 가능성이 있다고 전망 .

실제 IoT 기기의 보안취약점 정보를 거래하는 암시장이 존재


• 보안 사례 11.출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.- 방송

:(티비싱 ) 2013 년 블랙햇에서 중간자공격 (MITM, Man in the middle) 을 사용한 티비싱을 공개

※ 티비싱 (TVshing=TV+Smishing) 은 TV 와 셋톱박스의 통신을 가로채 원래 방송자막 대신 공격자의 자막을 송출하는 기법

공격 유형 등 정리

출처 : http://blog.skcc.com/2194

[email protected]@korea.ac.kr

mailto:[email protected]

mailto:[email protected]

부록

출처 : https://www.google.com/url?url=http://www.kosen21.org/work/03_information/0302_gtbReports/file_download1.jsp%3Fbid%3D0000000761503%26filename%3DICT_INSIGHT_IoT%25ED%2598%2584%25ED%2599%25A9%25EB%25B0%258F_%25EC%25A3%25BC%25EC%259A%2594%25EC%259D%25B4%25EC%258A%2588.pdf%26year%3D2015&rct=j&q=&esrc=s&sa=U&ved=0CCoQFjABahUKEwiw8OS8uZPHAhUHKYgKHbeOBLw&sig2=taJqboonEbr3BEZal0YwqQ&usg=AFQjCNEwaYBryB6Pxlwpsk4O4Sql9sW_3

정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.

부록

출처 : http://blog.skcc.com/2194

Technology

2015 isaca conference_io_t_case_150904