Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2015 isaca conference_io_t_case_150904

232 views

Published on

사물 인터넷과 보안 침해 사례
의료 기기, 세탁기, 스마트 폰 등의 센싱과 네트워크로 부터 보안 침해

Published in: Technology
  • Be the first to comment

2015 isaca conference_io_t_case_150904

  1. 1. 2015 ISACA Korea Conference2015 ISACA Korea Conference 사물인터넷 (IoT) 시대의 정보보호와 Cybersecurity Jang-Mook Kang |Jang-Mook Kang | Prof.Prof. Korea University Dep.Korea University Dep. Of ComputerOf Computer IoTIoT 기술과 보안 침해 사례기술과 보안 침해 사례 - 일시 : 2015 년 9 월 4 일 ( 금 ) 13:00 ~ 13:40 - 장소 : 신촌 연세대학교 새천년관
  2. 2. 프로그램
  3. 3. 1 장 . 사물 인터넷과 보안의 원 리 출처 : http://regmedia.co.uk/2014/05/06/freescale_internet_of_things_overview_1.jpg
  4. 4. IoT 기술과 보안 • IoT 기술과 보안 – IoT 의 의미 • IoT 기술이란 ? – The Internet of Things (IoT), which excludes PCs, tablets and smartphones, will grow to 26 billion units installed in 2020 representing an almost 30-fold increase from 0.9 billion in 2009, according to Gartner, Inc. – The Internet of Things is the network of physical objects that contain embedded technology to communicate and sense or interact with their internal states or the external environment. – ( 사용자 제어에 의해 동작하는 스마트 기기뿐만 아니라 , 자원제한적인 센서를 포함한 모든 기기들을 인터넷에 연결할 수 있는 기술 ) – 출처 – http://www.gartner.com/newsroom/id/2636073 – Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020, STAMFORD, Conn., December 12, 2013
  5. 5. IoT 기술과 보안 • IoT 기술과 보안 – IoT 와 관계 • 관계 맥락 보안
  6. 6. IoT 기술과 보안 • IoT 기술과 보안 – IoT 와 관계 • 사물의 확장 ( 웨어러블 등 ) 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  7. 7. IoT 기술과 보안 • IoT 기술과 보안 – IoT 와 관계 • 연결의 확장 ( 스마트 도시 등 ) 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  8. 8. IoT 기술과 보안 • IoT 기술과 보안 – 재연결 / 재구성의 부재 • 가치 사슬마다 보안 취약 포인트 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  9. 9. IoT 기술과 보안 • IoT 기술과 보안 – 바이오로 보는 사람에 대한 이해 • 나보다 나를 더 잘 이해하는 ? 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  10. 10. IoT 기술과 보안 • IoT 기술과 보안 – 라이프 사이클과 보안 • 사물 인터넷의 에코 시스템과 라이프 사이클 맥락의 보안 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  11. 11. 부록 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
  12. 12. 2 장 . 사물 인터넷의 보안 침해 사례
  13. 13. IoT 와 보안 침해 사례 • 보안 사례 1. - 다리미를 이용한 해킹 사례 사례 : 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고, 냉장고, TV 등이 해킹돼 1년간 75만 건의 스팸 메 일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다.  취약점 및 해결 방안 : 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후, 중요 모듈로 접근하는 방식을 취한다. 이 때문에 기기 운영 환경의 보안 과 기기 내 각 기능별 위협 확산 방지가 무엇보다 중요하다. 출처: http://www.boannews.com/media/view.asp?idx=42947 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  14. 14. IoT 와 보안 침해 사례 • 보안 사례 2. - 다리미를 이용한 해킹 사례 사례 : 2013년 10월 경, 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고, 냉장고, TV 등이 해킹돼 1년간 75만 건의 스팸 메일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다.  취약점 및 해결 방안 : 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후, 중요 모듈로 접근하는 방식을 취한다. 이 때문에 기기 운영 환경의 보안 과 기기 내 각 기능별 위협 확산 방지가 무엇보다 중요하다. 출처: http://www.boannews.com/media/view.asp?idx=42947 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  15. 15. IoT 와 보안 침해 사례 • 보안 사례 2. - 온도 조절 장치 기능 : - Nest 사의 Thermostat 은 사용자의 시간별 / 일별 선호 온도에 대한 학습 기능을 갖춤 – 부재중일 경우 , motion 센서를 사용하여 이를 감지하여 실내 난방 중지 (Auto-Away 기능 ) 기능에 따른 취약점 : 개인별 선호도 센싱 , 댁내 사용자 부재 여부 센싱 , 프라이버시 침해 문제 - WiFi 연결 가능 , 스마트폰 앱으로 실내 온도 제어 가능 출처 : http://www.krnet.or.kr/board/data/dprogram/1858/A1-3.pdf 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  16. 16. IoT 와 보안 침해 사례 • 보안 사례 2. - 온도 조절 장치 출처 : http://cfile4.uf.tistory.com/image/2367014954C8028B3F024E http://gift.kisti.re.kr/data/file/GTB/h210219/h210219_1340802161892.JPG
  17. 17. IoT 와 보안 침해 사례 • 보안 사례 3. - 배시 (Bash) 또는 쉘쇼크 (Shellshock) 버그 사례 : 웹캠을 비롯해 집 현관 로킹장치 , 자동차 대시보드 , 계산기 , 토스터 , 기타 많은 종류의 IoT 기기가 대부분 배시를 실행하고 있음 취약점 및 해결 방안 : 배시는 유닉스와 리눅스 기반 컴퓨터에서 명령 프롬프트와 비슷한 명령에 사용되는 쉘 코드이며 , 미 국립표준기술원은 1-10 등급 척도에서 쉘쇼크 버그가 확고한 10 등급 ( 가장 나쁜 등급 ) 이라고 평가함 쉘쇼크를 악용하기 쉬운 이유는 아무런 인증 없이 코드를 추가할 수 있기 때문에 해커가 악용하기에 용이하고 , 어떤 부분이 악용되더라도 그 사실을 알아내는 것 자체가 거의 불가능한 것으로 알려짐 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
  18. 18. IoT 와 보안 침해 사례 • 보안 사례 3. 출처 : https://puppetlabs.com/sites/default/files/bash%20post%20image.png http://blog.trendmicro.com/trendlabs-security-intelligence/shellshock- related-attacks-continue-targets-smtp-servers/
  19. 19. IoT 와 보안 침해 사례 • 보안 사례 4. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 프라이버시 부문 정리
  20. 20. IoT 와 보안 침해 사례 • 보안 사례 5. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 스마트 홈
  21. 21. IoT 와 보안 침해 사례 • 보안 사례 6. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 네트워크
  22. 22. IoT 와 보안 침해 사례 • 보안 사례 7. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 제어 시스템 ( 냉난방시스템 통제 ) KISA 는 냉난방시스템 통제에 쓰이는 셋톱박스가 기업을 대상으로 한 디도스 (DDoS) 공격에 악용된 사례가 국내에서 발 견되었다고 발표 ( 산업용 제어시스템 ) 미 국토안보부는 최근에 인터넷에 연결되어 있으나 방화벽 , 인증접속제어 등으로 보호되지 않은 채 , 기계장비를 운용하 는 산업용 제어시스템에 대한 사이버공격에 대해 경고
  23. 23. IoT 와 보안 침해 사례 • 보안 사례 8. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 의료 ( 인슐린펌프 ) ’12 년 블랙햇 보안 컨퍼런스에서 해커가 800 미터 밖에서 인슐린 펌프를 조작하여 치명적인 복용량을 주 입할 수 있음을 증명
  24. 24. IoT 와 보안 침해 사례 • 보안 사례 9. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 교통 : 보안업체 IOActive Labs 가 Sensys Networks 의 도로차량 감지기술을 조사한 결과 , 광범위한 설계 및 보안 결함을 발견 . 특히 공격자는 센서를 가장해 교통관리시스템에 위조 데이터를 전송하거 나 신호 등 같은 주요 인프라 통제가 가능
  25. 25. IoT 와 보안 침해 사례 • 보안 사례 10. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 사이버 범죄 : 2014 년 6 월 , 유로폴 (Europol) 은 올해 또는 수년 안에 자동차 , 의료기 기 , 웨어러블 기기 등 IoT 기기를 해킹한 온라인 납치와 살인 등 사이 버범죄 발생을 우려하며 , 정부에 대책방안을 요구 : 미 보안기업 IID 는 수년 안에 IoT 기기를 통한 사이버 살인범죄가 발생 할 가능성이 있다고 전망 . 실제 IoT 기기의 보안취약점 정보를 거래하는 암시장이 존재
  26. 26. IoT 와 보안 침해 사례 • 보안 사례 11. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 방송 :( 티비싱 ) 2013 년 블랙햇에서 중간자공격 (MITM, Man in the middle) 을 사용한 티비싱을 공개 ※ 티비싱 (TVshing=TV+Smishing) 은 TV 와 셋톱박스의 통신을 가로채 원래 방송자막 대신 공격자의 자막을 송출하는 기법
  27. 27. 공격 유형 등 정리 출처 : http://blog.skcc.com/2194
  28. 28. mooknc@gmail.com kangjm@korea.ac.kr
  29. 29. 부록 출처 : https://www.google.com/url?url=http://www.kosen21.org/work/03_information/0302_gtbReports/file_download1.jsp%3Fbid%3D0000000761503%26filename%3DICT_INSIGHT_IoT%25ED%2598%2584%25ED%2599%25A9%25EB%25B0%258F_%25EC%25A3%25BC%25EC%259A%2594%25EC%259D%25B4%25EC%258A%2588.pdf%26year%3D2015&rct=j&q=&esrc=s&sa=U&ved=0CCoQFjABahUKEwiw8OS8uZPHAhUHKYgKHbeOBLw&sig2=taJqboonEbr3BEZal0YwqQ&usg=AFQjCNEwaYBryB6Pxlwpsk4O4Sql9sW_3 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
  30. 30. 부록 출처 : http://blog.skcc.com/2194

×