IoT 장치의 취약점 분석절차 및 점검항목 도출

Abstract

불과 몇 년 전까지만 하더라도 IoT는 낯선 용어였지만 초고속 인터넷 보급의 확산과 스마트폰 및 전자기기의 비약한 발전으로 우리 실생활에 IoT 기기들이 빠르게 증가하고 있지만, 보안의식은 이를 따라가지 못하고 있다. 한 예로 웹캠 해킹 사건을 보면 공격자가 고도의 해킹 기술을 사용한 것이 아니라 사용자들이 웹캠의 초기 설정 비밀번호를 바꾸지 않는다는 점을 악용한 것이었다. 이에 대응하여 각 정보보호 기관에서는 IoT 보안을 강화하기 위해 IoT 장치에 대해 운영주기별 또는 제품 개발과정 단계에서 요구되는 보안 항목들을 제시하고 있지만, 제품 개발 이후 단계에서 취약점 분석을 위한 절차 및 항목은 없다. 이에 본 논문에서는 IoT 제품 개발 이후 취약점 분석 관점에서 “어떠한 절차와 항목으로 IoT 장치의 취약점을 분석할 것인가?”를 중점으로 연구하였다. 우선 IoT 장치의 취약점을 분석하기 위해 사용되는 관련 기술들을 수집하고 이를 바탕으로 IoT 장치의 취약점 분석절차로써 ‘하드웨어 분석 → 펌웨어 추출 → 펌웨어 구조 분석 → 운영 환경 분석 → 애플리케이션 분석’ 등 5단계로 구분하여, 단계별 요구되는 보안 항목들을 도출하였다. 그리고 위 방식의 유효성을 검증하기 위해 유ㆍ무선 공유기와 IP 카메라를 대상으로 위 분석절차와 점검항목으로 취약점 분석 실험을 하였고 단계별 유의미한 취약점들을 식별하여 위 방식의 효율성과 유효함을 입증하였다.