26. 침해대응&CERT (4) : 사물인터넷(IoT) • Shodan

사물인터넷(IoT)라고 불리는 개념의 범위는 우리가 일반적으로 생각하는 범위보다는

비교적 매우 방대한 범위를 가지고 있다 보니, 회사 내에 노출되어 있는 IP가 달려있는 네트워크 관련된 기기들이

 

Shodan이라는 검색엔진을 통해서 노출될 가능성이 있다는 것이 보안 측면에서의 리스크이자 업무 필요 부분이다.

 

 

---

 

 

사물인터넷(Internet of Things, IoT)

 

 

그러기 위해서는 IoT라는 개념을 먼저 정확하게 알아야 된다.

쉽게 이야기하면, 우리가 집에서 사용하는 여러 전자기기들이 네트워크가 된다고 생각할 수 있다.

 

네트워크가 된다는 의미는 어딘가와 통신을 하면서 거기에서

통제 또는 제어를 하거나, 정보를 수집하는 등의 일련의 과정이 가능하다는 것이다.

 

결과적으로는 연결되어 있는 네트워크에서 발생되고 있는

여러 가지 취약한 부분들을 통해 다양한 사고들이 발생할 수 있는 것이다.

 

개념
연결된 디바이스의 공통 네트워크를 의미하며, 다양한 디바이스를 하나의 네트워크로 연결하여 
디바이스 및 클라우드 간의 통신을 가능하게 하는 기술을 의미하기도 한다. 

최근 저렴한 컴퓨터 칩과 고대역폭 통신 기술의 발달로 수십억 개의 디바이스가 인터넷에 연결될 수 있게 되었다. 

예를 들면, 진공청소기, 자동차, 전구와 같은 일상적인 물건들이 
센서를 통해 데이터를 수집하고, 사용자에게 지능적으로 반응할 수 있다.

이렇게 사물 인터넷 산업은 빠르게 발전하고 있으며, 
스마트 객체들은 자동으로 인터넷과 데이터를 주고받을 수 있게 되었다. 

이러한 모든 '보이지 않는 컴퓨팅 디바이스'와 관련 기술을 총칭하여 사물 인터넷이라고 한다. 
앞으로 더 많은 디바이스가 IoT 기술을 통합하여 우리의 생활을 더욱 편리하고 효율적으로 만들어줄 것이다.

작동방식 예시
1. 여러 센서와 디바이스(동작 센서, 온도 센서, 근접 센서 등)가 데이터를 수집한다.
2. 네트워크(예: Wi-Fi, 블루투스)를 통해 데이터를 전송한다.
3. 스마트 홈 허브 또는 클라우드 서버에서 데이터를 처리하고 분석한다.
4. 명령이 여러 디바이스로 전송된다.
5. 디바이스들이 상호작용하여 명령을 수행한다.

 

 

---

 

 

사물인터넷 사용 시 발생할 수 있는 보안 문제점

 

 

오피스텔, 빌라, 아파트에서 출입, 퇴장 등을 관리하고 통제하는 월패드가 해킹을 당함으로써,

월패드에 있는 카메라 정보를 통해 집안이 노출되고 사생활 침해 관련된 사건 사고들이 일어나는 등의 사례가 존재한다.

 

결론적으로 전자기기에 IP가 붙어있는 것은 모두 사물 인터넷이라고 볼 수 있고,

우리가 생각했던 범위보다는 많은 범위 내에서 여러 가지 문제들이 발생될 수 있다는 것이 현재 현황이다.

 

그래서 관련 업무들을 수행한다고 했을 때, 보통 침해대응 또는 취약점 진단 쪽에서 해당 업무를 수행하게 될 것이다.

 

펌웨어 취약점
대부분의 IoT 장치에서는 펌웨어가 기본적인 운영 체제이다. 
이는 많은 보안 보호 기능이 마련되어 있지 않은 경우가 많으며, 

필요한 보안 패치나 업데이트가 지연되거나 전혀 적용되지 않을 수 있다. 

또한 일부 펌웨어에는 패치할 수 없는 취약점으로 가득한 경우가 존재하기 때문에, 
이러한 취약점을 노리는 공격에 노출될 수 있다.

네트워크 보안
IoT 디바이스들이 연결된 네트워크가 보안에 취약하다면, 공격자가 네트워크를 통해 
다른 연결된 디바이스에 접근할 수 있고, 이는 전체 시스템의 보안을 위협할 수 있다.

암호화 부족
IoT 장치는 기본적으로 통신을 암호화하지 않는 경우가 많으므로 이러한 공격에 특히 취약하다.

 

즉, IoT 장치의 데이터 교환 보호를 위해 암호화를 사용하지 않는 한, 

네트워크를 통과할 때 외부 당사자 및 경로상 공격자에게 취약하다. 

물리적 접근
일부 IoT 디바이스는 물리적 보안 조치가 없이 외부에 배치되어 있다. 
이는 물리적인 접근을 통한 공격 가능성을 높인다,

기본 설정
대부분의 IoT 장치는 제조사에서 설정한 기본 사용자 이름과 비밀번호를 가지고 출시되는데, 특정 모델의 모든 IoT 장치가 
동일한 자격 증명을 공유하는 경우도 존재하며, 이를 변경하지 않고 그대로 사용하는 경우가 다수이다. 

이 기본 설정은 인터넷상에서 쉽게 찾을 수 있거나, 유추하기 쉽기 때문에 공격의 가능성을 높인다.

대표적으로 IP 카메라, 웹캠 그리고 공유기 같은 경우도 'iptime'이라는 것을 사용하는 경우를 많이 볼 수 있다.

이것들 또한 모두 디폴트로 설정된 아이디 패스워드가 존재하다 보니,  노출되는 정보들이 많이 존재한다.

 

---

 

 

Shodan

 

 

개념
Shodan은 전 세계에 연결된 인터넷 기반의 디바이스 및 서비스를 검색할 수 있는 검색 엔진이다. 

일반적인 검색 엔진이 웹 페이지의 내용을 색인화하는 것과는 달리, Shodan은 웹 서버, 
라우터, 웹캠, 보안 카메라, 제어 시스템 등 인터넷에 연결된 모든 종류의 장치를 찾아내는 데 특화되어 있다. 

Shodan은 이러한 장치들이 인터넷에 어떻게 연결되어 있는지, 
어떤 서비스와 프로토콜을 사용하는지 등의 정보를 제공한다.

취약성 분석 및 평가, 모니터링 및 관리
Shodan은 보안 전문가들이 취약한 장비를 식별하고 조치하는 데 사용된다. 

또한, 기업이나 기관은 Shodan을 활용하여 자신들의 네트워크에 연결된 장치들을 모니터링하고, 
이 장치들이 최신의 보안 업데이트와 패치를 적용 받았는지, 취약한 포트가 노출되어 있는지 등을 평가할 수 있다.

Shodan은 그 자체로 강력한 도구이지만, 누구나 사용할 수 있기 때문에 
사용에 따라 긍정적 또는 부정적 결과를 초래할 수 있다. 

따라서 Shodan과 같은 도구를 사용할 때는 책임감 있는 사용과 윤리적 기준을 항상 유념해야 한다.

 

 

검색 필터 및 사용 예시

검색 필터	설명	사용 예시
city	특정 도시의 장치 검색	city:"New York" (뉴욕에 있는 장치 검색)
country	특정 나라의 장치 검색	country:"US" (미국에 있는 장치 검색)
port	특정 포트를 열어둔 장비를 검색	port:22 (SSH)
org	특정 조직에 속한 장비를 검색	org:"Google" (Google에 속한 장치 검색)
product	특정 서비스를 실행 중인 장비를 검색	product:"nginx" (Nginx 웹 서버를 실행하는 장치 검색)
version	특정 소프트웨어 버전을 사용하는 장비를 검색	product:nginx version:1.19.6 (1.19.6 버전의 Nginx 웹 서버를 사용하는 장치 검색)
os	특정 운영체제를 실행 중인 장비를 검색	os:"Linux" (Linux 운영 체제를 사용하는 장치 검색)
geo	특정 위도/경도 좌표 근처 장비를 검색	geo:37.7749,-122.4194 (샌프란시스코 근처 장치 검색)
hostname	특정 호스트 네임이 포함된 장비를 검색	hostname:"example.com" (호스트 네임에 example.com이 포함된 장치 검색)
net	특정 네트워크 대역을 지정하여 검색	net:192.0.2.0/24 (해당 네트워크 대역에 연결된 장치 검색)
vuln	특정 취약점을 가진 장비를 검색	vuln:CVE-2021-34527 (CVE-2021-34527 취약점이 있는 장치 검색)
title	웹페이지의 제목에 특정 문자열이 포함된 장비를 검색	title:"Apache2 Ubuntu Default Page" (제목에 "Apache2 Ubuntu Default Page"가 포함된 장치 검색)
ip	특정 IP 주소를 가진 장비를 검색	ip:8.8.8.8 (특정 IP 주소 8.8.8.8인 장치 검색)
device	특정 장치 유형을 검색	device:router (라우터 장치 검색)

위와 같이, Shodan에서 검색 필터를 사용하는 방법은 필터 이름을 입력하고,

콜론(:)을 사용한 후 원하는 값을 입력하는 방식이다.

또한, 중첩된 검색 필터를 사용할 경우, 아래와 같이 각 필터를 띄어쓰기로 구분하여 사용할 수 있다.
city:"Seoul" port:22 (서울에 위치하고 22번 포트를 사용하는 장치 검색)

 

 

사용 예시 화면

위와 같이 검색창에 원하는 검색 필터를 조합하면,

아래와 같이 호스트 네임, 도메인, 클라우드 제공자, 지역, 국가, 도시, 조직, ISP(인터넷 서비스 제공자), ASN 등의 

 

General Information(일반 정보), Open Ports(열린 포트), 프로토콜 정보 등을 제공해 준다.

 

 

만약, 특정 장비에 취약점이 존재할 경우, 아래와 같이 그 취약점에 대한 세부 정보를 제공해주기도 한다.

포트를 특정 지어서 살펴볼 수도 있으며, Latest(최신 취약점), 
CVSS(특정 점수 범위 내에 취약점을 가진 장비) 선택 필터도 존재한다. 

아래의 취약점 세부 정보에는 취약점이 보고된 발견 연도, 취약점의 고유 식별 번호인 CVE ID(예: CVE-2024-4577),
취약점이 어떤 상황에서 발생하는지, 어떤 영향을 미칠 수 있는지에 대한 상세한 설명까지 포함되어 있다.

 

 

아래는 검색 필터를 활용하여 검색한 예시 화면이다.

title:"blue iris remote view”를 통해, Blue Iris 소프트웨어를 통해 원격 뷰를 제공하는 장비를 찾는다.
아래와 같이 원격 뷰 인터페이스를 효과적으로 찾을 수도 있다.

 

 

아래는 title:"AVTECH"를 통해, AVTECH 브랜드의 장비(CCTV, DVR, 환경 모니터링 장비)를 찾은 화면이다.

아래와 같이 온도계처럼 환경 모니터링 관련 웹 인터페이스도 찾을 수 있다.

 

 

---

 

 

이외에도 검색을 하면서 찾아볼 수 있는 포인트는 여러 가지가 존재한다

 

 

네트워크 프린터

우리가 집에서 사용하는 프린터는 대부분 유선으로 연결하는 것이 일반적인 형태이다.

하지만, 회사에서 사용하는 프린터는 여러 사람들의 PC를 대상으로서

 

프린터의 역할을 수행해야 하다 보니, 무선으로 연결해서 사용한다.

 

금융회사와 같이 체계가 갖추어진 전자금융 관련 회사들은 업무 하는 업무망과

인터넷을 다룰 수 있는 인터넷망이 구분이 되어있다.

 

그러다 보니 업무망 내에는 말 그대로 회사 업무를 다루기 때문에 외부에서 접근이 불가하고,

인터넷망은 말 그대로 인터넷만 가능한 망인 것이다.

 

원칙대로라면 업무망 전용 프린터와 인터넷망 전용 프린터 두 대를 사용하는 것이 맞지만, 프린터를 공유하는 경우도 존재한다.
즉, 업무망과 인터넷망 둘 모두 해당 프린터를 이용하여 인쇄를 하는 경우인 것이다.

 

이렇게 되면, 업무망과 인터넷망을 연결해 주는 다리 역할을 프린터가 하게 되는 것이다.

이는 공격자가 인터넷망을 통해서 접근하여 업무망에서 인쇄되고 있는 파일 정보 등의

회사 정보가 노출될 수 있다는 리스크가 존재한다.

 

NAS 서버

일부 회사 또는 개인은 편의성을 목적으로 NAS 서버를 사용하는 경우가 존재한다.

개인 NAS를 사용하면 괜찮지만, 회사에서 뭔가 편의를 위해서 사용을 하는 것이다.

 

아무튼 NAS 자체는 인터넷에 노출되어 있다 보니, 여러 가지 보안통제나 접근통제를 적용해야 하는데,

이러한 조치가 미흡할 경우에는 Shodan을 통해서 해당 정보들을 확인해 볼 수 있다.

 

만약 NAS 서버 내에 개인 정보, 금융 정보 등의 중요한 파일들이 존재한다면,

개인정보 유출 사고로도 발생이 될 수 있는 것이다.

 

산업제어시스템(ICS)

보통 제조회사에서 산업제어시설들을 통합 관리를 해야 하는데, 이를 위해 산업제어시스템을 사용한다.

결과적으로 중앙에 있는 컨트롤 타워에서 모든 시설들을 통제하는 시스템인 것이다.

 

이러한 산업제어시스템들이 운영되고 있는 회사들은 국가의 기밀시설, 아니면 주요 시설들이 많이 해당이 된다.

 
이러한 시설은 당연히 인터넷이랑 연결되면 안 되기 때문에 상당히 폐쇄적으로 운영한다.

폐쇄적으로 운영을 한다는 말은 업데이트도 안 되고, 취약점이 있어도 조치를 못 하는 등의 상황들이 생기는 것이다. 

 

여기서 정말 치명적인 취약점이 나온다.

 

어떠한 점을 무조건 조치를 해야 하는 상황에서는 부득이하게 업데이트를 해야 되는데,

이러한 경우에 USB, 외장하드 등을 반입하고 검증을 통해 시스템에 대한 업데이트를 하는 경우들도 존재하지만,

 

편의를 위해 그때만큼은 네트워크를 살짝 연결해서 사용하는 경우들이 존재한다.

 

이렇게 조치를 하고 난 이후에 다시 정상적으로 폐쇄망으로 돌려놔야 되는데,

이 조치를 하지 않았을 때는 외부에서 접근할 수 있는 경로가 또 생겨버리는 것이다.

 

즉, 이러한 문제가 생기면 국가 차원의 문제가 생길 수도 있는 것이다.

이 산업제어시스템 같은 경우도 Shodan에서 상당히 유심하게 살펴보는 포인트 중에 하나인 것이다.

 

 

---

 

즉, 구글해킹을 통해서도 우리가 개인정보, 신용정보 등의 취약점을 찾아볼 수 있었지만,

사물인터넷도 이와 같은 정보와 더불어 여러 중요 정보가 유출될 수 있다는 리스크가 있는 것이다.

 

이를 위해 우리가 침해대응 또는 취약점 진단 분야에서 관련된 업무를 수행한다.