8. 사물인터넷의 경량 IP 카메라 취약점을 이용한 해킹 공격 및 대응 방안

사물인터넷의 경량 IP 카메라 취약점을 이용한 해킹 공격 및 대응 방안.pdf

0.75MB

 

해킹 공격에 사용되는 쇼단(Shodan)과 서비스 거부 공격

쇼단(Shodan)을 이용한 사물인터넷 기기 정탐

쇼단

• 합법적인 웹 기반 서비스로 이용자는 인터넷에 연결된 네트워크 연결 상태, IP주소, 서버의 종류와 같은 장치의 정보를 검색할 수 있음
• 인터넷에 연결되어 있는 장치의 취약점을 알려주어 보안에 대해 위험성을 알릴 수 있음

-> 이 정보들이 기기에 직접적인 보안 위협을 가하지 않을 수 있지만 이를 악용할 수 있다는 점이 문제이다. 쇼단은 공격자들에 의해 악용되어 기기의 정보나 콘텐츠가 유출되기도 하고, 2차 보안 공격에 활용하기 위한 정탐 도구로도 활용될 수 있다.

위의 그림은 저자들의 소속 기관 이름을 쇼단에서 검색한 결과이다. 그림의 A 부분은 검색된 기기의 기본 정보, B 부분은 접속 가능한 포트 번호, 그리고 C 부분은 해당 시스템의 알려진 취약점들이 공지된다. 해당 시스템은 SSL 인증서를 사용한 인증을 제공하고 있지만 주어진 취약점에 대한 대응을 하지 않았다면 오히려 취약점 정보들을 악용하여 해킹 공격이 가능해진다.

 

또한, 쇼단은 나라, 위/경도, 특정IP, 운영체제 등의 검색 필터를 이용하여 특정 장치를 검색할 수 있다. 예를 들어, 기본 값으로 자주 사용되는 아이디 ‘admin’과 비밀번호 ‘1234’를 입력하면 해당 아이디와 비밀번호를 가진 장치들을 쉽게 찾아낼 수 있다.

 

서비스 거부(DoS: Denial of Service) 공격

DOS 공격

서비스 가용성을 저해하려는 목적을 갖는 공격으로 시스템이나 네트워크의 제한된 자원에 대한 불필요한 사용을 극대화하도록 유도하여 정상적인 서비스를 방해하거나 정상 사용자의 자원 이용을 막는 행위

 

DDoS(Distributed DoS) 공격

• 분산된 공격 엔티티(entity)들이 다수 참여하여 동시 다발적으로 목표 시스템에 DoS 공격을 수행하는 행위
• DDoS 공격 형태는 SYN Flooding이 1분기 48%, 2분기 53%, 3분기 60%로 점차 증가하고 있고, 전체 공격의 과반 이상을 차지하고 있음
• 공격자가 서버에게 단순한 요청 패킷 전송에 대한 상대적으로 많은 양의 응답을 보내는 서버 증폭 (DNS 등) 공격 대신 증폭 없이 스푸핑된 IP 주소 사용으로 채널에 과부화를 주는 SYN Flooding 공격이 지속적으로 사용됨

 

 

 

IoT 경량 카메라 공격 시험

해킹 공격 구성도 

위의 그림은 사물인터넷의 해킹 공격을 위한 시험 네트워크의 구성도를 나타낸다.

• 공격 대상: 대중적인 오픈하드웨어 라즈베리파이와 전용 카메라 모듈(공격 시험을 위해 IP 카메라가 설치된 라즈베리파이에는 인증 기술이나 암호화 기술을 구현하지 않음)
• 영상 전송 서비스를 제공하기 위해 VLC 프로그램을 설치하여 구축
• 적법한 영상 수신기는 PC에 VLC 영상 플레이어 설치하여 사용
• 보안 공격을 수행하기 위해 칼리 리눅스가 설치된 공격 서버를 구축
• 공격의 편의성을 위해 스마트폰에 앱(그림에 나타낸 IRIS)을 개발하여 원격 공격 제어기로 활용

 

개요

1. 기기 검색 엔진인 쇼단을 이용하여 공격 대상 장치를 정탐하여 해당 장치의 인증 취약점을 확인
2. 인증 기술이 적용되지 않은 IP 카메라는 비인가 접속을 구분할 수 없고, 암호화되지 않은 영상 데이터는 모두 노출됨
3. 쇼단을 통해 대상 기기의 접속 정보 (IP 주소, 포트 번호)를 획득하여 공격 서버에 전송
4. 공격 서버는 대상 장치의 접속 정보를 기반으로 SYN 플로딩을 악용한 DoS 공격을 시도

 

IoT 기기 취약점을 이용한 공격 시험

시험에 적용한 서비스 거부 공격은 TCP 소켓 개설의 과정을 악용한 대표적 DoS 공격인 TCP SYN Flooding 공격을 사용했 다.

1. TCP 통신에서 세션 연결을 위해 서버에게 SYN 패킷 전송
2. 서버는 SYN+ACK로 응답을 하고, SYN_RECV 상태가 됨
3. 클라이언트에게 응답(ACK)를 받기 전까지는 그 상태를 일정 시간 동안 유지
4. 이 점을 악용한 TCP SYN Flooding 공격은 공격 대상 기기에 대량의 SYN 트래픽을 전송 하여 서버의 가용 리소스를 소모하게 함

본 시험에서 스마트폰은 원격 제어기의 역할을 수행하고, 실제 공격은 동일 네트워크에 공격 서버를 구축하여 시험하였다.

-> 공격 서버가 IRIS 앱으로부터 공격 수행 메시지를 받으면 대상 IP 카메라에게 SYN 패킷을 보내기 시작하고, 앞서 설명한 공격 동작 원리에 따라 IP Camera는 더 이상 영상 송출을 할 수 없게 된다.

위의 그림은 스마트폰에 구현한 IRIS 앱이 공격 대상 장치를 정탐하고 해킹에 성공한 시험 결과를 나타낸다. 

 

 

 

DOS 공격 대응 방안

DoS 공격은 물리 계층에서 응용 계층까지 모든 통신 계층에서 가능하다.

 

1. 물리 계층에서의 DoS 공격과 대응

• 공격 유형
  • 전송 매체의 신호 복제를 통한 대량 재전송
  • 대상 기기로의 재밍(jamming) 신호 브로드캐스트
  • 경량 기기의 sleep 모드를 방해
• 대응 방안
  • 신호 간섭 방지 기술 도입
  • 재밍 탐지 및 신호 회피 기술 적용

 

2. 2계층 네트워크 접속 프로토콜 기반 DoS 공격과 대응

• 공격 유형
  • IoT에서 주로 사용하는 작은 크기의 프레임(MTU)을 악용한 공격
  • 메시지 단편화(fragmentation) 과정에서 프레임 손실, 오염, 복사/삽입 공격
• 대응 방안
  • 단편화 데이터 검증 강화
  • 데이터 손실/오염을 탐지 및 복구하는 메커니즘 구축

 

3. 인터넷 및 응용 계층에서의 DoS 공격과 대응

• 공격 유형
  • 기존 인터넷 기반의 SYN Flooding, 스푸핑된 SYN Flooding 공격
• 대응 방안
  • Ingress/Egress 필터링
    • 사전 지정된 IP 대역 외의 패킷 차단
    • 단점: 라우터 부하 증가로 전송 속도 저하
  • TCP Intercept
    • 라우터가 SYN 패킷 가로채기 → SYN+ACK 반환 → ACK 수신 시 연결 포워딩
    • 단점: 라우터의 연결 세션 관리 부하
  • 출발지 IP 주소 검증
    • 역경로(reverse path) 확인 방식
    • 단점: 비대칭 네트워크에서는 구현 어려움

 

4. 스푸핑된 SYN Flooding DDoS에 대한 새로운 탐지 기법

• 특징
  • 기존 방식의 단점을 보완하여 탐지 정확성 및 서비스 가용성을 높임
  • 세션 대비 트래픽 부하량 비교를 통해 비정상 트래픽 탐지 시작
  • 단일 네트워크 기반에서 순서 번호 중복 검사 및 TTL 필드값 비교로 비정상 트래픽 제거
• 장점
  • 정상 사용자의 서비스 접근 차단 최소화
  • 네트워크 노드 간 제어 부담 감소