IoT 제품 관련 보안사고 동향

안녕하세요, 오브입니다.

오늘은 IoT 제품에 관련된 보안사고 동향을 알아보겠습니다.

 

2010년

- 4월 트렌드넷의 웹 기반 모니터링 카메라 단말기인 시큐어뷰어가 촬영한 동영상이 온라인 상에 노출
- 펌웨어 업데이트 버전 사용화 시 고객의 로그인 계정 정보를 인터넷상으로 평문으로 전송하면서 동영상을 전송, 저장하여 발생
- 트렌드넷 전용 모바일 앱이 고객의 로그인 정보를 지속적으로 단말기에 저장하여 보안에 취약한 구조

[자료:한국인터넷진흥원(KISA)]

 

2013년

- 美 라스베이거스에서 스마트 TV에 탑재된 카레라를 해킹해 사생활 영상 유출 시연.

"윤혜민, 전상훈, 「스마트 시티를 위한 홈 IoT 보안 구축에 관한 연구」, 극동대학교, 해킹보안학과, 2021년, 193쪽"

 

2014년

- 1월, 미국 캘리포니아 서니베일에 본사를 둔 보안서비스업체 프루프포인트는 13년 말부터 14년 초까지 10만건 이상의 스마트 TV, 스마트 냉장고를 해킹한 씽봇(Thingbots)을 통해 스팸 메일이 발송됐다고 발표했다. 

"박정현, "스마트TV·냉장고로 스팸 발송…사물인터넷(IoT) 해킹공격 첫 사례 발견", <조선비즈>, 2014.01.19, https://biz.chosun.com/site/data/html_dir/2014/01/19/2014011900725.html"

- 3월, 보안컨설팅 업체 팀 컴리는 해커들이 디링크, 덴타, 마이크로넷, 티피링크 등이 제조한 약 30만개의 공유기를 해킹했다고 경고했다.

"마소팀, 「마이크로소프트웨어 389호: 보안의 자각(Security Awareness)」, IT 조선, 2017, 109쪽"

- 9월, 서울 ‘ISEC 2014’에서 블랙펄 시큐리티는 로봇청소기 원격조종을 위해 필요한 앱의 인증방 식 취약점과 로봇청소기에 연결되는 AP의 보안 설정상의 취약점 등을 이용 해킹하여, 로봇청소기에 탑재된 카메라로 실시간 모니터링이 가능하다는 것을 시연

"배상태, 김진경, 「사물인터넷(IoT) 발전과 보안의 패러다임 변화」, R&D InI, 14호, 52쪽"

 

~2016년

- 2013~16년, 웹사이트 위키리크스는 미국 중앙정보국(CIA)이 영국 정보기관 MI5와 ‘우는 천사(Weeping Angel)’라는 악성코드를 개발해 스마트폰, 컴퓨터, 스마트TV 등 다양한 전자기기를 해킹할 수 있는 기술을 통해 정보를 수집해왔다고 폭로. 전원이 꺼진 상태에서도 ‘가짜 꺼짐 상태’를 유지해 모든 음성과 소리를 도청해 CIA 서버로 보낼 수 있는 기술

"이윤정, <경향신문>, 2017.03.08, https://www.khan.co.kr/world/world-general/article/201703081659001"

 

2017년

- 디지털 비디오 방송-지상파(DVB-Tl) 수신기가 해킹 코드가 삽입된 신호를 수신하면, TV에 내장된 웹브라우저의 취약점을 이용해 권한을 탈취하고 기능을 제어. TV에 탑재된 카메라나 마이크를 활성화 시켜 집안을 볼 수 있고, 다른 기기 조작 가능

FUNSHOP, 스위스 보안 업체 디지털 비디오 방송, https://www.funshop.co.kr/Story/FuntennaView/8289?t=funshopmain?t=funtenna, 2022.04.24