올해 검토:IoT 보안 고려 사항 12가지

소비자 관점에서 IoT 보안에 대한 가장 큰 우려는 개인 정보 보호입니다. -관련된. 가족은 보안 카메라가 낯선 사람에게 집을 엿볼 수 있다는 사실을 안타까워할 수 있습니다. 또는 스마트 스피커가 수집하는 데이터가 취약합니다.

이러한 우려는 정당하지만 가장 일반적인 위협 모델에 맞지 않거나 가장 심각한 IoT 보안 위험을 나타냅니다. IoT 장치를 표적으로 하는 공격자는 이러한 장치를 목적을 위한 수단으로 볼 가능성이 더 큽니다. 아마도 그들은 분산 서비스 거부 공격에서 그 중 다수를 활용할 수 있을 것입니다. 또는 네트워크에서 더 가치 있는 목표에 도달하기 위한 중심점으로 사용하십시오.

최근 라스베거스에서 열린 DEFCON에서 열린 강연에서 Scythe의 최고 경영자이자 GRIMM의 회장이자 West Point의 육군 사이버 연구소 고문인 Bryson Bort는 사이버 보안 관련 분야에서 가장 의미 있는 몇 가지 추세를 조명했습니다. 작년 IoT 및 산업 제어 시스템.

1. Nation-State Attribution이 점점 더 일반화되고 있습니다.

얼마 전까지만 해도 조직 범죄 그룹이 대다수의 사이버 공격 배후에 있는 것처럼 보였습니다. 그러나 지금은 국민 국가 행위자들이 자신들의 게임을 강화하고 있으며 때로는 사이버 지하 세계에서 인재를 모집하기도 합니다.

Verizon의 가장 최근 데이터 침해 조사 보고서에 따르면 조직 범죄 그룹에 할당된 침해 건수가 2015년 이후 상당히 감소했습니다. 같은 기간 동안 국가 관련 활동이 증가했습니다.

국가 활동의 수준이 높아짐에 따라 특정 공격의 배후에 있는 국가를 지정하려는 시도도 증가했습니다. 사이버 보안 연구원은 종종 공격의 기술적 측면에 초점을 맞추지만 Bort는 주어진 공격에서 민족 국가의 가능한 동기의 역할을 이해하는 것이 필수적이라고 말했습니다.

2. IoT 장치를 피벗 포인트로 공격하는 것은 정말 걱정되는 일입니다.

인터넷에 연결된 카메라를 통해 샤워를 마치고 나올 때 공격자가 당신을 염탐할 위험이 있습니다. 그러나 이러한 종류의 침해는 금전적 이득이나 기업 또는 정부를 대상으로 하는 스파이 활동이라는 위협 행위자의 보다 일반적인 목표와 일치하지 않습니다.

그러나 더 심각한 위협은 측면 공격에 IoT 장치를 사용하는 것입니다. 많은 상용 IoT 장치를 침해하는 것은 비교적 사소한 일이며 추가 스파이 활동이나 방해 공작을 위한 출발점을 제공합니다.

마이크로소프트 보안 대응 센터(Microsoft Security Response Center)는 최근 "VOIP 전화, 사무실 프린터, 비디오 디코더"를 표적으로 삼는 위협 행위자를 관찰했다고 보고했습니다. 공격자의 명백한 동기는 다양한 기업 네트워크에 액세스하는 것이었습니다. "공격자가 네트워크에 대한 액세스를 성공적으로 설정하면 다른 안전하지 않은 장치를 찾기 위한 간단한 네트워크 스캔을 통해 더 높은 가치의 데이터에 대한 액세스 권한을 부여하는 더 높은 권한의 계정을 검색하고 네트워크를 가로질러 이동할 수 있습니다." 보고서 설명했다. 마이크로소프트는 이 활동을 팬시 베어의 APT 28이라고도 하는 "스트론튬"이라는 그룹의 활동으로 돌렸습니다. 이 집단은 또한 2016년 DNC 해킹에 연루된 것으로 생각됩니다.

3. 에어 갭(여전히)이 존재하지 않음

이론적으로 에어 갭 네트워크는 세계의 나머지 지역과 물리적으로 격리되어 인터넷을 가로지르는 공격에 면역이 됩니다. 실제로 보안 기반 접근 방식을 활용하는 조직은 침해될 위험이 높아집니다. "실제 공극을 실제로 본 사람이 있습니까?" 보르트가 물었다. “아니요, 실제로 존재하지 않기 때문입니다. 내 평생 동안 산업 제어 환경에서 펜 테스트를 한 적은 단 한 번도 없었습니다.

air-gapped 시스템이라고 알려진 침해의 가장 유명한 예는 Stuxnet일 것입니다. 이 위반으로 공격자는 USB 스틱을 통해 이란 핵 시설 내의 네트워크에 액세스할 수 있었습니다.

4. 그린 에너지의 어두운 면은 사이버 보안입니다.

미국 전력망이 사이버 공격에 취약하다는 것은 해당 주제를 다룬 2015년 책 "Lights Out"의 Ted Koppel과 같은 노련한 언론인의 노력 덕분에 악명이 높아졌습니다. 또한 2015년에는 러시아 해커가 약 230,000명의 사람들을 일시적으로 폐쇄할 수 있었습니다. 그동안 미국 신문들은 러시아가 미국 전력망을 겨냥하고 있다고 주장하는 일련의 기사를 실었다. 최근에는 미국이 러시아도 표적으로 삼고 있다는 익명의 폭로가 있었습니다.

이러한 상황은 전 세계 국가들이 새로운 위협이 많이 발생하는 경우 전력망에서 정보 기술을 상당히 활용하는 이유에 대한 의문을 제기합니다.

Bort는 "완전히 아날로그로 돌아가는 것이 어떻습니까?"라고 물었습니다.

질문에 대한 답의 일부는 녹색 에너지입니다. 전 세계 사람들이 전기 자동차를 구매하는 것부터 지붕에 태양 전지판을 설치하는 것에 이르기까지 많은 요인이 배전 방정식을 근본적으로 바꾸었습니다. 수십 년 전만 해도 변전소에서 소비자로의 전자 흐름은 단방향이었습니다. 그러나 이제 소비자는 태양 에너지와 같은 재생 가능 에너지를 통해 간헐적으로 전력망에 전력을 공급합니다. "이제 기하급수적으로 더 복잡한 전력망을 처리할 컴퓨터가 필요합니다."라고 Bort는 말했습니다.

5. Nation-States는 점점 더 중요한 기반 시설을 목표로 하고 있습니다.

사이버 전쟁이 새로운 것은 아니지만 민족 국가는 라이벌의 산업 제어 시스템과 핵심 기반 시설을 표적으로 삼기 위한 노력을 강화하고 있는 것 같습니다. 이러한 인프라는 투표기에서 수도 및 전력 인프라에 이르기까지 다양합니다.

일반적으로 사이버 부서가 가장 발전된 국가 행위자는 미국, 영국, 이스라엘, 러시아, 북한 및 이란입니다. Bort는 베트남이 명예로운 칭호를 받을 가능성이 높다고 말했습니다. “지난 1년 동안 우리는 베트남이 극단적인 수준에서 민족 국가 간첩 활동을 하는 것을 보았습니다.

올해 초 블룸버그는 "베트남 '국가 연합' 해커"가 베트남의 급성장하는 자동차 제조 계획을 지원하기 위해 외국 자동차 회사를 표적으로 삼고 있다고 보도했습니다.

6. 사이버 공격으로 고립된 국가에 자금 지원

2017년 뉴욕 타임즈는 트럼프 행정부가 북한의 미사일 통제 시스템을 방해하는 사이버 무기 자금을 지원하기 위해 40억 달러를 요청했다고 보도했습니다. 자금은 또한 드론과 전투기가 미국 해안에 도달하기 전에 그러한 미사일을 하늘에서 떨어뜨릴 수 있도록 지원할 것입니다. 같은 출판물은 진행 중인 사이버 캠페인이 적어도 2014년부터 국가의 미사일 시스템을 목표로 삼았다고 주장하는 익명의 소식통을 인용했습니다.

이 이야기의 또 다른 주름은 북한이 무기 프로그램에 자금을 지원하는 방법을 폭로한 유엔 보고서입니다. 국가가 금융 기관과 암호화폐 거래소에서 20억 달러의 자금을 훔쳤다고 합니다.

Bort는 북한이 자금을 다양한 구매에 사용한 것 같다고 말했습니다. “아무도 [북한의] 화폐에 관심이 없습니다. 그들은 폐쇄된 경제에 있다”고 말했다. “디어 리더가 위스키와 페라리를 원하면 현지 통화로 살 수 없습니다. 그는 경화가 필요하다”고 덧붙였다. "그래서 사이버 관점에서 그들의 주된 동기는 절도입니다."

7. 단일 사이버 공격으로 수억 달러의 피해가 발생할 수 있음

엄밀히 말하면 WannaCry 및 그 변종은 명시적으로 IoT 또는 ICS에 중점을 두지 않습니다. 그러나 Microsoft Windows 운영 체제를 대상으로 하는 멀웨어는 피해자에게 유사한 피해를 입혔습니다. 워너크라이(WannaCry)는 악성코드가 영국 국립보건원(National Health Service)의 운영을 방해할 수 있음을 보여주었습니다. 19,000명의 약속을 취소한 NHS의 악성코드 비용은 9,200만 파운드였습니다. 한편 WannaCry의 사촌인 NotPetya는 글로벌 운송 대기업에 2억~3억 달러의 비용을 지출했습니다.

취약한 공급업체를 통해 제조 공장에 악성 코드가 도입된 후 공장의 골든 이미지가 너무 오래되어 패치가 불가능했습니다. Bort는 WannaCry 변종이 환경에 배포된 후 "만질 수 있는 모든 것을 손상시키고 전체 공장을 중단시켰습니다"라고 말했습니다.

미국은 워너크라이를 북한의 탓으로 돌리고 있지만, 북한이 이 공장을 감염시키려는 국가는 아닐 것입니다. Bort는 "이는 우연히 감염된 이미지를 가지고 도입한 공급업체였습니다."라고 말했습니다. "알아요. 미쳤어.”

8. 트리시스는 경종을 울려야 합니다

WannaCry와 마찬가지로 Trisis는 표면상 2017년에 시작되었습니다. FireEye가 러시아와 관련이 있다고 생각하는 공격자는 피해자를 대상으로 피싱 및 워터링 홀 기반 캠페인을 조합하여 사용했습니다. 공격자들은 먼저 IT를 표적으로 삼았습니다. 인프라를 구축한 다음 O.T. 네트워크에서 그들은 중요한 기반 시설에서 안전 계장 시스템을 공격했습니다. "그건 큰 일입니다."라고 Bort는 말했습니다. "산업 제어 시스템에서 [SIS는] 물리적 환경에서 사물을 변화시키는 센서와 컴퓨터를 작동합니다."

프로그래머블 로직 컨트롤러는 산업 제어를 위한 물리적 환경에서 어떤 일이 발생해야 하는지 계산하지만 "그들은 멍청한 컴퓨터"라고 Bort는 말했습니다. “PLC를 해킹할 필요가 없습니다. 내가 해야 할 일은 PLC에게 무엇을 하라고 지시하는 것뿐입니다. 그들은 나를 확인하지 않습니다. 그들은 권위를 찾지 않습니다. [..] "SIS가 하는 일입니다."

Trisis의 최초 공개 피해자는 중동에 기반을 두고 있지만 CyberScoop은 공격의 작성자가 현재 미국 전력망을 목표로 하고 있다고 보고했습니다.

9. 중요 기반 시설 캠페인이 강화되고 있습니다.

전 세계적으로 광범위한 인구가 중요 인프라 기반 사이버 공격의 영향을 받은 위치를 지적할 수 있는 예는 비교적 적습니다. 그러나 점점 더 많은 수의 해커가 이 인프라를 노리고 있습니다. Bort는 "중요한 인프라 공격의 주요 포인트는 이것이 반복적인 인텔리전스 캠페인이라는 것입니다."라고 말했습니다. “파괴적인 의도가 있었다는 증거는 많지 않습니다. 그러나 우리는 인프라에 [도입]하려는 이러한 의도에 대한 증거를 확실히 가지고 있습니다.”

10. 랜섬웨어는 IoT 기기를 표적으로 삼을 가능성이 있습니다.

보안 연구원들은 일련의 IoT 장치를 인질로 잡는 가능성을 입증했습니다. 그러나 랜섬웨어가 널리 퍼져 있지만 이를 배포하는 공격자는 기존 컴퓨팅 장치를 표적으로 삼는 경향이 있습니다.

Bort는 향후 5년 안에 랜섬웨어가 새로운 IoT 기반 도메인으로 확산될 것이라고 예측합니다. “세상 어딘가에서 누군가는 아침에 일어나서 차를 타고 출근할 것이라고 생각합니다.”라고 그는 말했습니다. "그 자동차를 켜는 순간 인포테인먼트 시스템이 '랜섬웨어:3비트코인을 보내서 켜십시오'라는 팝업을 표시할 것입니다."

11. 연결된 세상에서 공급업체는 위험 모델의 일부입니다.

지난해 블룸버그는 중국이 세계 최고의 서버 마더보드 공급업체 중 하나를 손상시켜 미국 공급망에 침투했다고 주장해 파장을 일으켰다. 이 이야기는 SuperMicro, Apple, Amazon을 포함하여 이야기에 언급된 유명 기술 회사의 여러 리더와 미국 국토 안보부 및 영국 국가 사이버 보안 센터의 대표자들에 의해 논쟁이 되었습니다.

기사의 사실에 의문이 생길 수 있지만, 소위 "외국인 거주"는 위협입니다. “공격자는 게임에 자신의 도구만 가져오는 것이 아닙니다. 그들은 그 환경에 이미 있는 것을 당신에게 불리하게 사용하고 있습니다.”라고 Bort는 말했습니다. “인프라에 영향을 미치는 모든 것은 위험 모델의 일부입니다. 더 이상 당신만의 것이 아닙니다.”

12. 데이터가 급증하고 있습니다. 판매 방식도 마찬가지입니다.

"스마트 TV는 스마트 기능이 없는 TV보다 비용이 적게 든다는 사실을 알고 계셨나요?" DEFCON 세션에서 Bort가 물었다. "왜 그런 겁니까? 그들은 원격 측정과 데이터로 돈을 벌고 있습니다.”

4월의 Business Insider 기사도 같은 결론에 도달했습니다. “일부 제조업체는 사용자에 대한 데이터를 수집하고 해당 데이터를 제3자에게 판매합니다. 데이터에는 시청하는 프로그램 유형, 시청하는 광고 및 대략적인 위치가 포함될 수 있습니다."

일부 자동차 제조업체는 유사한 전술을 전개하고 있다고 Bort는 말했습니다. "자동차 제조업체가 귀하가 자동차를 운전할 때 어떻게 그리고 무엇을 얻을 수 있는지 살펴보고 있는 여러 모델이 있습니다."

미중 경제안보검토위원회 보고서는 중국 정부의 'IoT 기기 및 민감한 데이터 무단 접근'과 '접근 허용' 확대에 대한 우려를 표명했다. 보고서는 다음과 같이 설명합니다. "[중국] 미국 소비자의 IoT 데이터에 대한 승인된 액세스는 중국 IoT 회사가 생산 및 비용 측면에서 이점을 활용하여 미국 시장 점유율을 확보함에 따라 증가할 것입니다."

Bort는 많은 소비자용 IoT 장치가 데이터를 중국으로 전송한다고 말했습니다. 그는 “정말 재미를 느끼고 싶다면 집에 있는 IoT 기기를 연결하고 패킷을 확인하고 패킷이 어디로 가는지 확인하라”고 말했다. “제가 꽂은 장치가 중국에 가지 않는 것을 아직 본 적이 없습니다. 나는 그것이 사악하거나 악의적이라고 제안하는 것이 아닙니다.” 이러한 IoT 장치가 국가에 데이터를 전송하는 것은 일반적입니다. 그는 "어디서 만들어지나요?"라고 물었습니다.