임베디드 리눅스 보안 이슈 정리

임베디드 리눅스 보안 이슈 정리

 

임베디드 리눅스 사용 제품

- 가전(공유기, NAS, CCTV 등), 영상/음향 기기(네트워크 기반 제품), 셋톱 Box

 

 

임베디드 리눅스를 사용하는 제품의 취약점

1. 보안을 고려하지 않은 설계

 1) 많은 임베디드 제품은 보안을 고려하지 않은 채 만들어지고 있고, 일부 제품들은 텔넷(telnet), SSH 등 원격 포트를 열어두어 외부에서 접근이 가능한 실정.

 2) 대부분의 제품들은 고정된 공장 초기 암호를 사용하고 있어 기본적인 취약점으로 작용.

 3) 임베디드 리눅스는 모든 소스코드가 공개된 탓에 더 많은 악성코드가 나올 수 있음.

 

2. 사생활 침해 및 개인 정보 유출

 1) 훔쳐보기/듣기 가능 (베이비 모니터, CCTV 등 Web cam)

 2) 공유기의 DNS 주소 변경으로 피싱 사이트(금융, 포털 등) 유도 또는 악성코드 유포 가능

 

3. 백도어를 통한 악성코드(Malware) 감염 및 DDoS 공격에 활용

 1) 악성코드 감염으로 인한 제품 자체 기능 상실 가능

 2) 감염된 제품과 연동/연결되는 제품들도 감염 가능

 3) DDoS 에이전트로 사용되거나 불법적인 행위(개인정보 크롤링 등)에 사용될 수 있음

 

 

국내/외 사고사례

* 네트워크의 리눅스 시스템을 노리는 변종 “XOR.DDOS” 트로이목마 발견 (2015.01.06)

리눅스 장비, ARM 구조 기반 라우터(공유기 등), NAS 저장 장치 등을 대상으로 한다.

 

- 해외

1) 보안 전문업체 임페르바(Imperva)가 최근 탐지한 DDoS 공격은 리눅스 임베디드 버전과 비지 박스(BusyBox) 툴킷을 사용하는 CCTV 카메라에서 보내진 것으로 확인되었다.

이는 텔넷이나 SSH를 통한 매우 취약한 인증방식을 사용하는 것으로 알려졌다. (2015)

 

2) 마이크로소프트 X박스 라이브, 소니 플레이스테이션 네트워크(PSN) 등에서도 인터넷 공유기가 DDoS에 악용되기도 했다. 여기에는 리자드 스쿼드라는 해킹 그룹이 인터넷 공유기를 악용해 악성코드 봇넷을 구축하기도 했다. (2015)

 

3) 한 익명의 연구원이 전 세계 42만 대의 인터넷 접속 임베디드 디바이스를 기본 설정이나 아무런 패스워드 없이 가로채 전체 인터넷을 장악하는 실험에 사용한 적도 있다. (2013)

 

 

국내/외 해결사례

- 국내

1) 시큐리티 플랫폼,사물인터넷 등에 활용이 기대되는 임베디드 리눅스 기반의 보안 OS 개발(2015)

무결성을 위한 안전 부팅(Secure Boot) 기술을 통해 OS가 시스템 통제권을 가져가기 전에 리눅스 커널과 시스템 이미지의 암호화된 서명을 확인하고 보안 인증된 파일만 실행하게 한다.

그리고 마지막으로 가용성을 위해 애플리케이션을 샌드박스(Sand Box) 안에서 실행되게 함으로써 강제적 접근제어(MAC: Mandatory Access Control)를 구현하였다.

 

- 해외

1) 윈드리버, EAL4+ 보안 인증 획득한 임베디드 리눅스 출시 (2011)

범용 운영체제 보호 프로파일(GP-OSPP)을 이용한 NIAP(National Information Assurance Partnership) 평가에서 최초로 CC EAL4+(Common Criteria Evaluation Assurance Level 4+) 인증을 획득한 상용 임베디드 리눅스 플랫폼인 ‘윈드리버 리눅스 시큐어’를 전 세계적으로출시

 

---

16년쯤 작성했던 이슈 내용인데 6년이 지난 지금 봐도 셋톱박스, IP스피커, IP 카메라 등 임베디드 제품의 보안 문제는 여전해 보인다.

물론 내가 만든 임베디드 장치들도 지금 보면 구멍 퐁퐁 뚫려 있는 경우가 많아서 만든 지 8년쯤 지난 제품이 이제 와서 보안 이슈로 현장 지원 요청이 이따금씩 온다. (해킹당해서 DDoS, 크롤러 등 이상한데 쓰임;;)

나 같아도 주변에 노출된 IP장치들 이렇게 저렇게 들쑤셔보긴 하니까..

보안 문제는 애초에 예방하는 게 최선이라 생각한다. (할 수 있다면)

 

끝.