How do you think Internet of Things technology will change in the future? i lecture special cissp korea chapter for 40 min. contect title of name is Internet of thing with your future. have a nice day~~~

1. Internet of Things with
your future
(당신의 미래와 함께하는 사물인터넷)
한국CISSP협회 보안연구실
유정훈 팀장
James.yoo@boanin.com
2015.11.18

2. 서론 I
 블랙스완 이론[Black Swan Theory]
검은백조

3. 발표 배경[목차]
IoT
With
Your
Future
용어의 정의
사물인터넷
보안 위협
인터넷(보안)환경의
패러다임/IoT기술
사물인터넷
보안
고려 사항
영화속 미래세상
엿보기

4.  정보보호가 무엇이고, CPS/IoT/WoT 용어설명
 인터넷(보안)환경의 변화와 영화속 미래세상을
살펴보고, IoT기술/사물인터넷 위협 및 사례를 확인후
사물인터넷 보안의 고려사항을 살펴보겠습니다.
 마지막으로, 이를 통해 사물인터넷 보안의 고려사항을
각자 생각해 보시면 좋을거 같습니다.
발표 개요

5.  정보보호
[정보보호]의 사전적 의미
정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신ㆍ수신 중에
정보의 훼손ㆍ변조ㆍ유출 등을 방지하기 위한
관리적ㆍ기술적 수단, 또는 그러한 수단으로 이루어지는 행위
- 목적 : 고객의 자산을 보호하고 허용 가능한 위험수준까지 낮추는 것
- 책임 : 외부 위탁으로 수행되는 정보서비스에 대한 정보보호의 궁극적인
책임은 위탁서비스 사용업체에 있음
- 조직문화에 의해 제한을 받고 정보보호는 포괄적이고 통합적인 접근방법
으로 접근되어야 함
- 정보보호는 조직의 관리활동에 있어 적절한 주의의무(due care)에 포함
되어야 함
용어의 정의

6.  그림으로 보는 정보보호 개념
해당 기관에서 직원 및 이용자의 자산
(시스템, 개인정보, 기업 기밀, 영업비밀..)을
안전하게 지키는 행위!
사이버 공격,
위협, 변조,침해 요소
(사회공학적 기법 포함]
국가
[안전한 세상 만들기]
개인(삶의 가치)
수호신(방패)
기업
(자산과 정보 지키기]
KCB
용어의 정의

7. 용어의 정의
 CPS란? (CPS, Cyber-Physical System)
 CPS는 모든 사물들이 서로 연결되어 정보를 교환하는
사물인터넷(Internet of Things)에서 컴퓨팅과 물리 세
계가 네트워킹을 통해 유기적으로 융합되어 사물들
이 서로 소통하며 자동적, 지능적으로 제어되어 지는
시스템

8. IoT / WoT 관련 용어
IoT: 물리적 세계와 정보 세계를 아울러 “연결”된 인프라
(즉, 모든 사물에서 네트워크 연결을 제공하는 네트워크의 네트워크)
[참고] 가트너 연구결과: 2009년까지 사물의 개수는 9억개
2020년까지 사물의 개수는 260억개
WoT: 사물 웹(web of things, WoT)이란 물체들이 인터넷을 통해 연결되어
있을 뿐만 아니라 물체가 형상화되어 웹에 연결됨
예를 들면 냉장고 내에 보관되어 있는 식품들이 바뀔 때마다 냉장고가 알아서
인터넷 웹에 바뀐 정보를 게시
용어의 정의

9. 용어의 정의
CPS
국방무기체계, 자동차, 무인기, 무인
자동차등의 고신뢰의 소프트웨어로
통제되는 기술(폐쇄형 시스템)
‘스마트 팩토리’라고 표현 하기도함
IoT
센서를 통해 아이의 기저귀를 갈아
주거나 어르신이 빙판길에 넘어 실
때 위치정보를 보내는기술
(개방형 시스템-사람이 없이 사람을
연결시켜주는 기술)

10.  ‘1965년 이정문 화백이 그린 미래 상상도
인터넷(보안)환경의 패러다임

11.  시대변화에 따른 모바일시대
인터넷(보안)환경의 패러다임

12.  타임라인을 통한 사물인터넷(IoT) 검색어
인터넷(보안)환경의 패러다임

13. IoT 기술
 사물인터넷 오픈 플랫폼/서비스 기술
통신/네트워킹 기술
오픈 플랫폼/API/서비스 API 기술
신뢰성/보안/프라이버시 기술
저전력 디바이스/센싱
빅데이터 기술
지능화 기술
IoT 필요한 주요 기술

14.  개방형 IoT 생태계
①웹 개발자
② 플랫폼 사업자
③사용자
④ 서비스제공자
⑤기기 개발사
⑥광고주
⑦ 통신사업자
⑧ 단말사업자
IoT 기술

15.  IoT 보안기술 정의
IoT 기술
디바이스 네트워크 플랫폼/서비스
• 개방형 플랫폼에서의 기
기 및 사용자 인증
방안 마련
• 키은닉 암호, 실제적
안전 암호 기반 플랫폼
구축
• 클라우드, 빅데이터
환경에서의 익명화
기술 적용
• 초연결 T2T 단대단
신뢰통신보안
• 초연결 사물 네트워크 해
킹 감시∙대응 및 보안 관리
• IoT 악성 트래픽 탐지∙대응
• 디바이스 생명주기별
단계 보호방안 마련
• 다양한 기기 맟춤형
저전력 보안 HW모듈 및
운영체제
• 디바이스간 상호인증/
접속제어

16.  영화를 통한 사물 인터넷 엿보기(1)
: 89년 백투더퓨쳐 2 (26년전 미래환경) [ 1/4 ]
영화속 미래세상 엿보기
미국의 테라푸지아 – TF-X
- 최대 4명 탑승
- 500마일(약 804km)의 연속 비행

17.  영화를 통한 사물 인터넷 엿보기(1)
: 89년 백투더퓨쳐 2 (26년전 미래환경) [1/4]
영화속 미래세상 엿보기

18. 영화속 미래세상 엿보기
나이키 – 2015년 출시예정
 영화를 통한 사물 인터넷 엿보기(1)
: 89년 백투더퓨쳐 2 (26년전 미래환경) [2/4]

19. 영화속 미래세상 엿보기
 영화를 통한 사물 인터넷 엿보기(1)
: 89년 백투더퓨쳐 2 (26년전 미래환경) [3/4]
스마트홈 시대(지문 인식 자물쇠, 가정기기 음성인식)
미래세계에 온 제니퍼(지문인식)

20. 구글글래스
휴버테크-호버보드
영화속 미래세상 엿보기
전자안경(온도측정, 영화 보기)
 영화를 통한 사물 인터넷 엿보기(1)
: 89년 백투더퓨쳐 2 (26년전 미래환경) [4/4]

21.  영화를 통한 사물 인터넷 엿보기(2)
– Timer 2010년 개봉작
당신의 반쪽을 찾는다면
타이머는 예측가능 합니다.
당신의 반쪽을 찾는다면
타이머는 예측가능 합니다.
Timer는 100% 정확합니다.
[주의: 타이머 장착은 딱 한번 밖에 못한다고 합니다.]
당신은 어떤 선택을 하시겠습니까?
1. 타이머기기가 없어도 자신의 반쪽을 찾고 싶다.
2. 타이머기기를 장착하고 자신의 반쪽을 기다리고 싶다.
영화속 미래세상 엿보기

22. IoT 보안 위협(Internet of Broken Things)
• 많은 요소기술의 통합으로 인한 보안 취약성 발생
• 여러 주체로 인한 높은 보안
/프라이버시 보호 책임 부재 및 통합 보안의 문제
• IoT 디바이스에 대한 해킹 공격
• 네트워크 통신의 도/감청
• 개인정보에 대한 자기정보통제의 어려움
• 법 제도적 문제

23.  Layer에 따른 보안 위협
IoT 보안 위협

24.  IoT 기기별 취약점 및 영향
- 스마트 전구와 브리지간에 지그비(Zigbee) 또는 블루투스(BlueTooth)
를 이용하여 통신하는경우, 변경 불가한 비밀번호(Static Password)가
사용되는 문제 발생
-월 패드의 관리자 웹 페이지 파라미터를 조작하여 버퍼 오버플로워를
발생 시킬수 있음
-CCTV 펌웨어의 업데이트를 인위적으로 조작하여 비정상적으로 설치
되는 문제 발생 할수 있음
IoT 보안 위협
제품 취약점 공격 영향
스마트전구
월패드
네트워크
카메라(CCTV)
변경 불가능한
비밀번호
중간자공격으로
비밀번호를 획득하
여 비인가 명령 실행
전구가 원격에서
제어됨
메모리 영역 침범
펌웨어 무결성
미검사
파라미터값을 조작
하여 쉘코드 실행
변조한 펌웨어를
디바이스에
강제 업데이트
연결된CCTV를 통해
사생활 감시, 도어락을
오픈시켜 거주지 침입
CCTV가 좀비 기기로
활동하게 되면서 주변
기기에 2차 피해 발생

25.  사물인터넷 제품(체중계)를 통한 보안 취약성
IoT 보안 위협

26. IoT 보안 위협
 홈 서버 해킹을 통한 댁내 가스밸브 원격개방
해커

27. IoT 보안 위협
 악성코드가 감염된 차량진단 앱을 통한 자동차 원격제어
해커

28. IoT 보안 위협
 교통정보 수집 센서 해킹을 통한 신호 제어
해커

29.  기업 모바일 서비스 가짜 악성앱
문자 송수신, 로그읽기, 오디오 설정 수정 등 악성 행위에
필요한 퍼미션 요구
[출처: 악성앱 분석_고려대학교 산학협력단_KISA-
WP-2014-0033]
IoT 보안 위협
CIA

30.  대기업 본사 : 출입 리더기 연동으로 인한 위협
[사례] L. Grunwald, RF-ID and Smart-Labels: Myth, Technology and Attacks, Blackhat
Breifings 2004, Las Vegas, July 2004. Available at http://rf-dump.org
태그 정보 추출RFID 보안 취약성 관련
최초 시연
13.56MHz 태그 정보
추출 후 동일 태그 복제
관련 소프트웨어가 모두
공개되어 있음
http://rf-dump.org
- 보통 출입리더기의 경우 RFID 방식으로 대기업에서는 대부분 서버인증으
로 작동하며 별도의 보안 프로토콜을 사용하나, RFID 만의 복제 위험성은
존재함.
IoT 보안 위협

31.  대부분 RFID 방식 사용
- 고정 ID 방식 : 100% 복제 가능(국내에는 Passive 방식인 고정ID 많이사용
- 통신 확인표 방식: 리더기에 특정값을 던지면 출입카드가 그걸 연산하여
값을 리턴 하는데 출입카드 마다 알고리즘이 다른 형태임
IoT 보안 위협

32.  참고자료: NFC + RFID + 블루투스 차이점
구분 NFC RFID 블루투스
통신거리/방식 10cm이내 1~2m 1~100m
주파수대역 13.56 Mhz 900MHz 2.4G
특징
양방향통신
(읽기/쓰기)
일방향 통신
(읽기만 가능)
양방향 통신
보안성 High Low Middle
서비스분야
결제, 정보접근,
공유(P2P) 등
정보접근
(data Access) 등
정보공유 등
IoT 보안 위협

33.  윤리적 마인드 위협요소
비인가된 사용,
복제, 배포, 판매
지적재산 위조 소프트웨어
해적판
소프트웨어
공정 사용원칙
저작권
노래, 영화, 비디오 게임
등에 대한 법적 보호
무형의 창작물을
유형화하는 수단
특정상황에서의 저작권
자료들의 합법적 사용
진품처럼 보이게
제작 판매되는 S/W
기술은 다른 사람들에 대한 행동을 지도하는 원칙과
표준인 윤리(Ethics)에 새로운 도전을 제기
새로운 도전
윤리적 위협 요소
기술 진보로 인해 발생한 윤리적인 문제
: 해킹사고 및 저작권 침해와 지적 재산권 관련된 윤리적 이슈들로 인해 모든
Business 분야에서 많은 노력이 소진되며, 다양한 정보유출 사고도 발생됨
IoT 보안 위협

34.  IoT 위협에 따른 주요 요점 사항
IoT 보안 위협
 TV·냉장고가 일거수일투족 감시…
해킹땐 사생활 100% 노출
 사물인터넷, '살인' 무기로 악용될 가능성 높아
 스마트 빌딩, 사물인터넷으로 보안 위협에 노출
 보안 무시한 사물인터넷 `재앙 부른다`

35. IoT 보안 위협
보안 문제가 발생하는 이유
공격받을 가능성=
{가치(돈, 쇼크, 과시, 정치적 목적, …)} 𝟐
× 공격기회 × 공격의 용이성
성공한 제품
널리 보급된 제품
지배적인 서비스
(Consumerization)
취약점
Zero-Day
사람

36.  IoT 기기가 좀비로 변하는 시대( 인터넷연결기기)
IoT 보안 유출 사례
2014.11.29일 SK브로드밴드와 LG유플러스 망에 나타난 분산서비스거부 공격 당함
공격자는 좀비 PC를 이용해 대규모 디도스 공격을 일으켰지만 최근에는 방법이 한 단
계 진화했다. 가정용 무선공유기를 비롯해 냉난방 공조장비 등 PC가 아닌 인터넷에 연
결된 모든 기기를 이용한다. IoT 공격 현실화다. 이번 디도스 사건에는 가정에서 주로
쓰는 무선공유기가 이용됐다. 무선 공유기는 기본적인 보안 솔루션인 안티바이러스
도 설치되지 않은 데다 관리 주체가 불분명하다. 대부분 사용자는 무선 공유기 초기
설정을 변경하지 않은 상태로 사용한다.
IoT 시대는 해킹할 수 있는 단말이 늘어난다. 인터넷에 연결되는 냉장고 청소로봇, 의
료기기 등 모든 기기는 해킹 대상이다. 문제는 이들 기기는 메모리와 중앙처리장치
(CPU) 등의 하드웨어 스펙이 낮아 백신, 암호화, 인증 등 고품질의 보안기술을 적용하
기가 힘들다. 보안 패치가 힘들고 통신 내용을 모니터링 하기 어려워 보안 취약점이
증가한다.
복잡한 네트워크 구조도 IoT 취약점이다. 와이파이, 블루투스 등 이종 무선 네트워크
가 상호 연동되면서 일정한 보안 수준을 유지하기 어렵다.
사물인터넷기기의 미흡 요소
- 비밀번호 변경할수 없거나 변경하지 않음
- 하드웨어 스펙이 낮아 백신,암호화,인증 구현 어려움
- 보안패치 및 통신내용 모니터링 분석 어려움
- 복잡한 네트워크구조 로 인해 분석 어려움
출처:전자신문_ 2014.12.04

37.  악성 앱 설치를 통한 유출 사례_실전해킹사례
(사회공학적 기법)
IoT 보안 유출 사례
악성.APK 생성
(재미있는 게임)

38.  스마트폰 해킹 동영상 실전 사례 (실시간 찍기)
IoT 보안 유출 사례

39.  NFC를 활용한 개인정보 유출
IoT 보안 유출 사례

40.  NFCProxy 를 활용한 정보유출 Flow
IoT 보안 유출 사례

41. Secure Coding 적용
개발 업체 및 개발자의 보안 마인드 변화 필요
침해사고 이상징후를 발견시 관리자 통보기능
스마트 기기 보안성 평가 제도 마련
사물인터넷과 연계된 개인정보 보호 대책 필요
사용자인증 및 경량화 암호 기법 적용 필요
사물인터넷기기 및 센서 설치나 유지보수 업체
보안 교육 필요(시스템 패치,모니터링 능력 강화)
사물인터넷 보안 고려사항

42. 사물인터넷 보안 고려사항
사물인터넷 관련 법규 검토 필요
사물인터넷 / 빅데이터 분석 전문가 양성 필요
사물인터넷 센서의 배터리 문제
사물인터넷 기기의 데이터 전송량 검토 필요
사물인터넷 기기의 디바이스 분석 연구 필요
사물인터넷 관련 표준규격 검토 필요
사물인터넷 기기 개발업체 및 유지보수 업체
수탁자 관리감독 철저

43. (결론) 사물인터넷 보안 고려사항
경량화 된 암호화 기법 적용
PC와 같은 높은 수준의 보안 기법을 적용하기 어려움
통합 보안 기술 개발
전 세계적으로 통합된 자동화된 식별자 발급 및 관리 체계
가 필요
사용되는 단말 및 각종 단말에 사용되는 서비스 환경,
운영체제들은 굉장히 다양
전 방위적 보안 시스템 구축
주로 외부 공격자에 대한 대응책에만 치중
실시간 통신 상태
점검, 문제 발생 시 즉각적인 복구 가능을 위한 체계적인
보안 설계가 필요

44. IoT 기기해킹시 개인정보 문제는 어떻게 될까요?
 개인정보?
• 개인정보는 정보주체를 인식할 수 있는 직접적인 정보
• 다른 정보와 결합하여 정보주체를 식별할 수 있는 정보
 개인정보 문제의 발생 원인
• Connected Device
• 인터넷과 직접 연결된 기기뿐만 아니라 매개체를 통한 간접
연결 기기
 관리적/기술적/물리적 관점의 문제점을 고민할
필요가 있음(개인정보 보호 관점)
[생각하기]