로봇 청소기가 귀하의 비트코인을 훔쳐갈 수도 있을까?
작성자:Felix Ng
번역: TechFlow
스마트 로봇 청소기 및 기타 스마트 홈 기기는 해커에게 쉽게 침입당해 비밀번호 입력이나 니모닉(mnemonic)을 기록당할 수 있다.
어느 날 아침에 일어나서 로봇 청소기가 제어를 잃고, 냉장고가 몸값을 요구하며, 암호화폐와 은행 계좌의 자금이 모두 사라진 것을 발견하는 상상을 해보자.
이것은 유랑하는 혜성이 전 세계적으로 기계들을 살인광으로 만들었던 1986년 스티븐 킹의 공포 영화 '맥시멈 오버드라이브(Maximum Overdrive)'의 줄거리가 아니다.
대신, 이는 해커가 집안의 스마트 기기를 통해 컴퓨터에 침입할 경우 발생할 수 있는 현실적인 위험을 보여준다. 전 세계 IoT(사물인터넷) 기기 수가 약 188억 대에 이를 것으로 예상되며, 매일 평균 약 82만 건의 IoT 공격이 발생함에 따라 이러한 시나리오의 가능성은 증가하고 있다.
"보안되지 않은 IoT 기기(예: 라우터)는 가정 네트워크로 침입하는 출구가 될 수 있습니다." 블록체인 보안 회사 Beosin의 연구원 Tao Pan은 인터뷰에서 이렇게 말했다.
2023년 기준 미국 일반 가정은 평균 21개의 인터넷 연결 기기를 소유하고 있으며, 스마트 홈 기기 사용자의 3분의 1은 지난 12개월 동안 데이터 유출 또는 사기 사건을 경험한 적이 있다.
"한 번 침입당하면 공격자는 연결된 기기에 접근하기 위해 수평 이동(horizontal movement)을 할 수 있으며, 암호화폐 거래에 사용되는 컴퓨터나 휴대폰에 접근하거나 기기와 거래소 사이의 로그인 자격 증명을 캡처할 수 있습니다. API를 이용해 암호화폐 거래를 하는 사용자에게 특히 위험합니다." 그는 덧붙였다.
그렇다면 해커는 정확히 가정 내 어떤 정보를 훔칠 수 있으며, 어떤 피해를 입힐 수 있을까?
매거진(Magazine)은 지난 몇 년간 발생한 가장 이상한 해킹 사례 중 일부를 수집했다. 여기에는 출입문 센서가 해킹되어 암호화폐를 채굴한 사례도 포함된다. 또한 데이터와 암호화폐 보안을 지키기 위한 실용적인 조언들도 정리했다.
커피머신 해킹
2019년, 사이버보안 회사 Avast의 연구원 마틴 호른(Martin Hron)은 해커가 가정 네트워크 및 장치에 얼마나 쉽게 접근할 수 있는지를 시연했다.
그는 간단한 목표를 선택했다: 자신의 커피머신을 원격으로 해킹하는 것이다.
호른은 대부분의 스마트 기기와 마찬가지로 커피머신도 기본 설정 상태이며, Wi-Fi에 접속할 때 비밀번호 없이도 연결이 가능해 악성 코드를 장치에 업로드하기 매우 쉽다고 설명했다.
"많은 IoT 기기들은 먼저 자체 Wi-Fi 네트워크를 통해 가정 네트워크에 연결되는데, 이 네트워크는 장치 설정 용도로만 사용됩니다. 이상적으로는 사용자가 즉시 이 Wi-Fi 네트워크에 비밀번호를 설정해야 합니다." 호른이 설명했다.
"하지만 많은 기기들이 출고 시점에서 Wi-Fi 네트워크 보호용 비밀번호를 설정하지 않으며, 많은 사용자들도 이를 설정하지 않습니다." 그는 덧붙였다.
"펌웨어(firmware), 즉 커피머신을 작동시키는 소프트웨어를 교체할 수 있기 때문에 내가 원하는 대로 할 수 있습니다. 원하는 어떤 것으로든 바꿀 수 있고, 기능을 추가하거나 삭제할 수도 있으며, 내장된 보안 조치를 우회할 수도 있습니다. 그래서 저는 무엇이든 할 수 있습니다." 그는 Avast가 공개한 영상에서 말했다.
그의 데모에서 호른은 커피머신 화면에 랜섬노트(ransom note)를 표시했고, 몸값을 지불하지 않으면 장치를 사용할 수 없도록 잠갔다.
기기를 끌 수는 있지만, 그건 다시는 커피를 마실 수 없다는 뜻입니다
(Avast/YouTube)
그러나 랜섬노트를 표시하는 것 외에도 커피머신은 더 악의적인 행동을 수행할 수 있다. 예를 들어 히터를 켜 불이 날 위험을 만들거나 끓는 물을 분사하여 피해자를 위협할 수 있다.
더 무서운 점은, 이 기기가 전체 네트워크로 침투하는 통로가 되어 해커가 은행 계좌 정보, 메일, 심지어 암호화폐 니모닉까지 감시할 수 있다는 것이다.
카지노 어항 해킹
가장 유명한 사례 중 하나는 2017년 발생했는데, 라스베이거스 한 카지노 로비의 인터넷 연결 어항이 해킹되어 10GB의 데이터가 전송되었다.
이 어항은 온도 조절, 먹이 제공, 청소 등을 위한 센서를 갖추고 있었으며, 이 센서들은 카지노 네트워크에 연결된 컴퓨터에 접속되어 있었다. 해커는 어항을 통해 네트워크 다른 구역으로 진입했고, 데이터를 핀란드의 원격 서버로 전송했다.
어항은 이런 모습일 수 있습니다
(Muhammad Ayan Butt/ Unsplash)
카지노는 일반적인 방화벽과 백신 소프트웨어를 배치했음에도 불구하고 공격이 성공했다. 다행히도 공격은 신속하게 탐지되고 처리되었다.
사이버보안 회사 Darktrace의 CEO 니콜 이건(Nicole Eagan)은 당시 BBC에 "즉시 차단하여 아무런 피해도 발생하지 않았습니다."라고 말했다. 그녀는 또한 인터넷 연결 기기 수의 지속적인 증가는 "해커들의 천국"을 의미한다고 덧붙였다.
문 센서로 조용히 채굴하기
2020년, 코로나19 팬데믹으로 전 세계 사무실이 폐쇄된 가운데, 사이버보안 회사 Darktrace는 비밀리에 암호화폐를 채굴하는 사건을 발견했다. 해커는 사무실 생체 인식 출입 관리 서버를 이용해 불법적으로 채굴을 수행한 것이다.
이 사건의 단서는 서버가 네트워크에 처음 등장한 외부 IP 주소로부터 의심스러운 실행 파일을 다운로드했다는 점에서 시작됐다. 이후 서버는 프라이버시 코인인 모네로(XMR)의 채굴풀과 관련된 외부 엔드포인트에 반복적으로 연결됐다.
이러한 공격은 "크립토재킹(cryptojacking)"이라고 불리며, 마이크로소프트 위협정보팀은 2023년 Linux 시스템과 인터넷에 연결된 스마트 기기를 표적으로 삼은 더 많은 크립토재킹 사례를 발견했다.
마이크로소프트 조사에 따르면, 공격자들은 인터넷에 연결된 Linux 및 IoT 기기에 대한 무차별 대입(brute-force) 공격을 통해 침입한다. 일단 네트워크에 침투하면 백도어를 설치하고, 암호화폐 채굴 악성코드를 다운로드하여 실행한다. 이는 전기 요금 급등뿐 아니라 모든 채굴 수익이 해커의 지갑으로 직접 전송되는 결과를 초래한다.
이러한 크립토재킹 사례는 계속해서 나타나며, 최근 사례 중 하나는 크립토재킹 코드를 위조된 404 HTML 페이지에 숨기는 것이었다.
스마트 기기 해킹: 전력망 파괴
더 무서운 것은 프린스턴 대학의 보안 연구자들이 제안한 가설이다. 만약 해커가 21만 대의 에어컨과 같이 전력을 많이 소비하는 기기를 충분히 많이 제어해 동시에 켜게 한다면, 이는 인구 약 3800만 명의 캘리포니아 주 전체가 갑작스럽게 정전되는 것과 같은 결과를 초래할 수 있다는 것이다.
(Unsplash)
이러한 기기들은 전력망의 특정 부분에 집중되어 동시에 켜져야 하며, 이는 특정 전선에 과부하를 걸어 손상시키거나 보호 릴레이를 작동시켜 차단하게 된다. 그러면 부하가 남은 선로들로 전환되며 전력망에 가해지는 압박이 더욱 커지고 결국 연쇄적 정전이 발생할 수 있다.
다만 이러한 상황은 특수한 날씨(예: 폭염) 동안은 전력망 변동이 일반적이므로, 정교한 악의적 시간 조율이 필요하다.
로봇 청소기가 당신을 보고 있다
작년에 미국 여러 지역에서 로봇 청소기들이 갑자기 스스로 작동하기 시작했다. 중국산 Ecovac 로봇 청소기에 심각한 보안 취약점이 존재한다는 사실이 해커들에게 알려졌기 때문이다.
보고에 따르면, 해커들은 이러한 기기를 원격으로 조종해 반려동물을 위협하거나 내장된 스피커를 통해 사용자에게 욕설을 외치며, 심지어 내장 카메라를 이용해 집 안의 환경을 염탐할 수 있다고 한다.
해킹된 Ecovac 로봇 청소기의 실시간 영상 캡처 이미지
(ABC 뉴스)
"IoT 기기의 심각한 문제 중 하나는 많은 제조사들이 여전히 보안 문제에 무관심하다는 점입니다." 사이버보안 회사 카스퍼스키(Kaspersky)가 말했다.
자명하게, 해커가 비밀번호 입력이나 니모닉 기록 장면의 영상을 확보한다면 그 결과는 참담할 것이다.
스마트 기기 해킹으로부터 자신을 보호하는 방법은?
주변을 둘러보면, 집안 거의 모든 기기들이 인터넷에 연결되어 있음을 알 수 있다. 로봇 청소기, 디지털 액자, 도어벨 카메라 등 말이다. 그렇다면 어떻게 비트코인을 안전하게 보호할 수 있을까?
전문 해커 조 그랜드(Joe Grand)의 방법을 따르는 것도 하나의 선택이다. 즉, 스마트 기기를 전혀 사용하지 않는 것이다.
"내 집에서 가장 스마트한 기기는 스마트폰이지만, 그것도 나는 불편하게 느끼며 사용합니다. 단지 내비게이션과 가족과의 소통을 위해서만요. 하지만 스마트 기기? 절대 안 됩니다." 그는 매거진에 말한 바 있다.
Avast의 호른은 스마트 기기에 비밀번호를 설정하고 기본 설정을 피하는 것이 최선의 방법이라고 말한다.
다른 전문가들은 IoT 기기를 위한 별도의 게스트 네트워크를 사용할 것을 권장하며, 특히 컴퓨터 및 휴대폰과 네트워크를 공유할 필요가 없는 기기의 경우 더욱 그렇다. 사용하지 않을 때는 기기를 네트워크에서 분리하고, 소프트웨어를 항상 최신 상태로 유지해야 한다.
또한, Shodan과 같은 인터넷 연결 검색 엔진을 사용하면 집안의 연결 기기들과 잠재적인 취약점을 확인할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@Cointelegraph
