JM code group, profile picture
Uploaded byJM code group
PPT, PDF348 views

2015 isaca conference_io_t_case_150904

사물 인터넷과 보안 침해 사례 의료 기기, 세탁기, 스마트 폰 등의 센싱과 네트워크로 부터 보안 침해

Embed presentation

Downloaded 19 times
2015 ISACA Korea Conference2015 ISACA Korea Conference 사물인터넷 (IoT) 시대의 정보보호와 Cybersecurity Jang-Mook Kang |Jang-Mook Kang | Prof.Prof. Korea University Dep.Korea University Dep. Of ComputerOf Computer IoTIoT 기술과 보안 침해 사례기술과 보안 침해 사례 - 일시 : 2015 년 9 월 4 일 ( 금 ) 13:00 ~ 13:40 - 장소 : 신촌 연세대학교 새천년관
프로그램
1 장 . 사물 인터넷과 보안의 원 리 출처 : http://regmedia.co.uk/2014/05/06/freescale_internet_of_things_overview_1.jpg
IoT 기술과 보안 • IoT 기술과 보안 – IoT 의 의미 • IoT 기술이란 ? – The Internet of Things (IoT), which excludes PCs, tablets and smartphones, will grow to 26 billion units installed in 2020 representing an almost 30-fold increase from 0.9 billion in 2009, according to Gartner, Inc. – The Internet of Things is the network of physical objects that contain embedded technology to communicate and sense or interact with their internal states or the external environment. – ( 사용자 제어에 의해 동작하는 스마트 기기뿐만 아니라 , 자원제한적인 센서를 포함한 모든 기기들을 인터넷에 연결할 수 있는 기술 ) – 출처 – http://www.gartner.com/newsroom/id/2636073 – Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020, STAMFORD, Conn., December 12, 2013
IoT 기술과 보안 • IoT 기술과 보안 – IoT 와 관계 • 관계 맥락 보안
IoT 기술과 보안 • IoT 기술과 보안 – IoT 와 관계 • 사물의 확장 ( 웨어러블 등 ) 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
IoT 기술과 보안 • IoT 기술과 보안 – IoT 와 관계 • 연결의 확장 ( 스마트 도시 등 ) 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
IoT 기술과 보안 • IoT 기술과 보안 – 재연결 / 재구성의 부재 • 가치 사슬마다 보안 취약 포인트 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
IoT 기술과 보안 • IoT 기술과 보안 – 바이오로 보는 사람에 대한 이해 • 나보다 나를 더 잘 이해하는 ? 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
IoT 기술과 보안 • IoT 기술과 보안 – 라이프 사이클과 보안 • 사물 인터넷의 에코 시스템과 라이프 사이클 맥락의 보안 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
부록 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
2 장 . 사물 인터넷의 보안 침해 사례
IoT 와 보안 침해 사례 • 보안 사례 1. - 다리미를 이용한 해킹 사례 사례 : 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고, 냉장고, TV 등이 해킹돼 1년간 75만 건의 스팸 메 일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다.  취약점 및 해결 방안 : 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후, 중요 모듈로 접근하는 방식을 취한다. 이 때문에 기기 운영 환경의 보안 과 기기 내 각 기능별 위협 확산 방지가 무엇보다 중요하다. 출처: http://www.boannews.com/media/view.asp?idx=42947 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
IoT 와 보안 침해 사례 • 보안 사례 2. - 다리미를 이용한 해킹 사례 사례 : 2013년 10월 경, 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고, 냉장고, TV 등이 해킹돼 1년간 75만 건의 스팸 메일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다.  취약점 및 해결 방안 : 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후, 중요 모듈로 접근하는 방식을 취한다. 이 때문에 기기 운영 환경의 보안 과 기기 내 각 기능별 위협 확산 방지가 무엇보다 중요하다. 출처: http://www.boannews.com/media/view.asp?idx=42947 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
IoT 와 보안 침해 사례 • 보안 사례 2. - 온도 조절 장치 기능 : - Nest 사의 Thermostat 은 사용자의 시간별 / 일별 선호 온도에 대한 학습 기능을 갖춤 – 부재중일 경우 , motion 센서를 사용하여 이를 감지하여 실내 난방 중지 (Auto-Away 기능 ) 기능에 따른 취약점 : 개인별 선호도 센싱 , 댁내 사용자 부재 여부 센싱 , 프라이버시 침해 문제 - WiFi 연결 가능 , 스마트폰 앱으로 실내 온도 제어 가능 출처 : http://www.krnet.or.kr/board/data/dprogram/1858/A1-3.pdf 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
IoT 와 보안 침해 사례 • 보안 사례 2. - 온도 조절 장치 출처 : http://cfile4.uf.tistory.com/image/2367014954C8028B3F024E http://gift.kisti.re.kr/data/file/GTB/h210219/h210219_1340802161892.JPG
IoT 와 보안 침해 사례 • 보안 사례 3. - 배시 (Bash) 또는 쉘쇼크 (Shellshock) 버그 사례 : 웹캠을 비롯해 집 현관 로킹장치 , 자동차 대시보드 , 계산기 , 토스터 , 기타 많은 종류의 IoT 기기가 대부분 배시를 실행하고 있음 취약점 및 해결 방안 : 배시는 유닉스와 리눅스 기반 컴퓨터에서 명령 프롬프트와 비슷한 명령에 사용되는 쉘 코드이며 , 미 국립표준기술원은 1-10 등급 척도에서 쉘쇼크 버그가 확고한 10 등급 ( 가장 나쁜 등급 ) 이라고 평가함 쉘쇼크를 악용하기 쉬운 이유는 아무런 인증 없이 코드를 추가할 수 있기 때문에 해커가 악용하기에 용이하고 , 어떤 부분이 악용되더라도 그 사실을 알아내는 것 자체가 거의 불가능한 것으로 알려짐 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
IoT 와 보안 침해 사례 • 보안 사례 3. 출처 : https://puppetlabs.com/sites/default/files/bash%20post%20image.png http://blog.trendmicro.com/trendlabs-security-intelligence/shellshock- related-attacks-continue-targets-smtp-servers/
IoT 와 보안 침해 사례 • 보안 사례 4. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 프라이버시 부문 정리
IoT 와 보안 침해 사례 • 보안 사례 5. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 스마트 홈
IoT 와 보안 침해 사례 • 보안 사례 6. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 네트워크
IoT 와 보안 침해 사례 • 보안 사례 7. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 제어 시스템 ( 냉난방시스템 통제 ) KISA 는 냉난방시스템 통제에 쓰이는 셋톱박스가 기업을 대상으로 한 디도스 (DDoS) 공격에 악용된 사례가 국내에서 발 견되었다고 발표 ( 산업용 제어시스템 ) 미 국토안보부는 최근에 인터넷에 연결되어 있으나 방화벽 , 인증접속제어 등으로 보호되지 않은 채 , 기계장비를 운용하 는 산업용 제어시스템에 대한 사이버공격에 대해 경고
IoT 와 보안 침해 사례 • 보안 사례 8. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 의료 ( 인슐린펌프 ) ’12 년 블랙햇 보안 컨퍼런스에서 해커가 800 미터 밖에서 인슐린 펌프를 조작하여 치명적인 복용량을 주 입할 수 있음을 증명
IoT 와 보안 침해 사례 • 보안 사례 9. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 교통 : 보안업체 IOActive Labs 가 Sensys Networks 의 도로차량 감지기술을 조사한 결과 , 광범위한 설계 및 보안 결함을 발견 . 특히 공격자는 센서를 가장해 교통관리시스템에 위조 데이터를 전송하거 나 신호 등 같은 주요 인프라 통제가 가능
IoT 와 보안 침해 사례 • 보안 사례 10. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 사이버 범죄 : 2014 년 6 월 , 유로폴 (Europol) 은 올해 또는 수년 안에 자동차 , 의료기 기 , 웨어러블 기기 등 IoT 기기를 해킹한 온라인 납치와 살인 등 사이 버범죄 발생을 우려하며 , 정부에 대책방안을 요구 : 미 보안기업 IID 는 수년 안에 IoT 기기를 통한 사이버 살인범죄가 발생 할 가능성이 있다고 전망 . 실제 IoT 기기의 보안취약점 정보를 거래하는 암시장이 존재
IoT 와 보안 침해 사례 • 보안 사례 11. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 방송 :( 티비싱 ) 2013 년 블랙햇에서 중간자공격 (MITM, Man in the middle) 을 사용한 티비싱을 공개 ※ 티비싱 (TVshing=TV+Smishing) 은 TV 와 셋톱박스의 통신을 가로채 원래 방송자막 대신 공격자의 자막을 송출하는 기법
공격 유형 등 정리 출처 : http://blog.skcc.com/2194
mooknc@gmail.com kangjm@korea.ac.kr
부록 출처 : https://www.google.com/url?url=http://www.kosen21.org/work/03_information/0302_gtbReports/file_download1.jsp%3Fbid%3D0000000761503%26filename%3DICT_INSIGHT_IoT%25ED%2598%2584%25ED%2599%25A9%25EB%25B0%258F_%25EC%25A3%25BC%25EC%259A%2594%25EC%259D%25B4%25EC%258A%2588.pdf%26year%3D2015&rct=j&q=&esrc=s&sa=U&ved=0CCoQFjABahUKEwiw8OS8uZPHAhUHKYgKHbeOBLw&sig2=taJqboonEbr3BEZal0YwqQ&usg=AFQjCNEwaYBryB6Pxlwpsk4O4Sql9sW_3 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
부록 출처 : http://blog.skcc.com/2194

More Related Content

PDF
IoT 기반 비즈니스 트랜드 및 보안 이슈 전망 2015.12.10
byHakyong Kim
 
PDF
안전한 스마트시티를 위한 IoT 보안 이슈와 대응 방안 (사물인터넷 보안)
byHakyong Kim
 
PDF
Internet-of-Things as a Business : 6 IoT Business Strategies
byHakyong Kim
 
PPTX
IoT strategy for u (by adam)
bySeung Min Shin
 
PDF
사물인터넷 보안 사례 및 대응 방안 2016.11.09
byHakyong Kim
 
PDF
IoT 세상의 사업 기회와 고려 사항
byDonghyung Shin
 
PDF
아마존 사례로 살펴보는 사물인터넷 도입 전략 - 2015.04.17
byHakyong Kim
 
PDF
Iot wearable mobile platform architecture 20150912
by준우 조
 
IoT 기반 비즈니스 트랜드 및 보안 이슈 전망 2015.12.10
byHakyong Kim
 
안전한 스마트시티를 위한 IoT 보안 이슈와 대응 방안 (사물인터넷 보안)
byHakyong Kim
 
Internet-of-Things as a Business : 6 IoT Business Strategies
byHakyong Kim
 
IoT strategy for u (by adam)
bySeung Min Shin
 
사물인터넷 보안 사례 및 대응 방안 2016.11.09
byHakyong Kim
 
IoT 세상의 사업 기회와 고려 사항
byDonghyung Shin
 
아마존 사례로 살펴보는 사물인터넷 도입 전략 - 2015.04.17
byHakyong Kim
 
Iot wearable mobile platform architecture 20150912
by준우 조
 

What's hot

PPSX
IoT 기반 융합 서비스 기술 (응용사례)
by정명훈 Jerry Jeong
 
PPTX
사물인터넷
by채현 박
 
PDF
Iot 융합기술 적용사례 및 발전전망(keti)
by메가트렌드랩 megatrendlab
 
PDF
사물인터넷 시대의 보안 이슈와 대책
byHakyong Kim
 
PPTX
사물인터넷 솔루션개발팀 안종태_20140815
byJong-tae Ahn
 
PDF
사물인터넷 시대 안전망, 융합보안산업
by메가트렌드랩 megatrendlab
 
PDF
사물인터넷 강의 - 사물인터넷과 비즈니스 2016.02.24
byHakyong Kim
 
PPTX
20190306 만들면서 배우는 IoT / IoT의 이해
byChiwon Song
 
PDF
IOT(사물인터넷)-제1회 iTalks 세미나-Dhankim-2014-4-2
byDonghan Kim
 
PDF
사물인터넷 네트워크 전략 및 시사점
by메가트렌드랩 megatrendlab
 
PDF
사물인터넷 노트14_사물인터넷보안
byDong Hwa Jeong
 
PDF
Iot로 열리는 초개인화 앱 시대, 글로벌 4강 동향과 국내 고려사항
by메가트렌드랩 megatrendlab
 
PDF
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립
byHakyong Kim
 
PPT
[Ignite LG]스마트를 넘어 IoT 시대로 IoT 어디까지 와있나? - 황재선
byLife's Good
 
PPTX
IoT era and convergence security sangsujeon
bySangSu Jeon
 
PDF
Intel 2014 Business Review & IoT Tech Leadership
byJunSeok Seo
 
PPTX
iot
byDong Hyun Kim
 
PDF
IoT 공통플랫폼의 구축 및 활용전략
byYoun Sang Jang
 
PDF
IoT & 오픈소스
byKevin Kim
 
PDF
Sensor cloud 이승배
bySEUNG BAE LEE
 
IoT 기반 융합 서비스 기술 (응용사례)
by정명훈 Jerry Jeong
 
사물인터넷
by채현 박
 
Iot 융합기술 적용사례 및 발전전망(keti)
by메가트렌드랩 megatrendlab
 
사물인터넷 시대의 보안 이슈와 대책
byHakyong Kim
 
사물인터넷 솔루션개발팀 안종태_20140815
byJong-tae Ahn
 
사물인터넷 시대 안전망, 융합보안산업
by메가트렌드랩 megatrendlab
 
사물인터넷 강의 - 사물인터넷과 비즈니스 2016.02.24
byHakyong Kim
 
20190306 만들면서 배우는 IoT / IoT의 이해
byChiwon Song
 
IOT(사물인터넷)-제1회 iTalks 세미나-Dhankim-2014-4-2
byDonghan Kim
 
사물인터넷 네트워크 전략 및 시사점
by메가트렌드랩 megatrendlab
 
사물인터넷 노트14_사물인터넷보안
byDong Hwa Jeong
 
Iot로 열리는 초개인화 앱 시대, 글로벌 4강 동향과 국내 고려사항
by메가트렌드랩 megatrendlab
 
사물인터넷 비즈니스 사례 분석을 통한 사업화 전략 수립
byHakyong Kim
 
[Ignite LG]스마트를 넘어 IoT 시대로 IoT 어디까지 와있나? - 황재선
byLife's Good
 
IoT era and convergence security sangsujeon
bySangSu Jeon
 
Intel 2014 Business Review & IoT Tech Leadership
byJunSeok Seo
 
iot
byDong Hyun Kim
 
IoT 공통플랫폼의 구축 및 활용전략
byYoun Sang Jang
 
IoT & 오픈소스
byKevin Kim
 
Sensor cloud 이승배
bySEUNG BAE LEE
 

Viewers also liked

PDF
Internet of Things ignite 발표자료
byHwanIk Kim
 
PDF
자동인식&스마트SCM(MONTHLY AIDC+SMART SCM) 2014년 4월호
by고양뉴스
 
PDF
Embedded linux 악성코드 동향 20150323 v1.0 공개판
byMinseok(Jacky) Cha
 
PPTX
It Trends 2015-2H-totoro4
bySangSu Jeon
 
PPTX
Sotis 소개
by종명 류
 
PDF
O2O 시대의 커머스 트렌드
byKim jeehyun
 
PDF
사물인터넷에 활용되는 무선통신 기술
by남억 김
 
PDF
국내외 Io t 기술 표준
by남억 김
 
PDF
ICBM 산업동향과 IoT 기반의 사업전략
byHakyong Kim
 
PDF
IoT 서비스 아키텍처 분석 및 Case Study-Innovation Seminar
by영섭 임
 
Internet of Things ignite 발표자료
byHwanIk Kim
 
자동인식&스마트SCM(MONTHLY AIDC+SMART SCM) 2014년 4월호
by고양뉴스
 
Embedded linux 악성코드 동향 20150323 v1.0 공개판
byMinseok(Jacky) Cha
 
It Trends 2015-2H-totoro4
bySangSu Jeon
 
Sotis 소개
by종명 류
 
O2O 시대의 커머스 트렌드
byKim jeehyun
 
사물인터넷에 활용되는 무선통신 기술
by남억 김
 
국내외 Io t 기술 표준
by남억 김
 
ICBM 산업동향과 IoT 기반의 사업전략
byHakyong Kim
 
IoT 서비스 아키텍처 분석 및 Case Study-Innovation Seminar
by영섭 임
 

Similar to 2015 isaca conference_io_t_case_150904

PDF
Internet of thing with your future(공개용)
byjames yoo
 
PDF
Internet of thing with your future(공개용)
byjames yoo
 
PDF
홈가전io t보안가이드-최종본
by남억 김
 
PDF
The future of the iot final
byJaeyeonKim19
 
PDF
사물인터넷과 주변 생태계의 변화
byatelier t*h
 
PPTX
교육정보서비스 사물인터넷 강의 6주
byJM code group
 
PDF
차세대 ICT융합산업 제품_서비스_보안위협_및_대응방향
by주형 오
 
PDF
The future of the internet of things
byJaeyeonKim19
 
PDF
Convergence Security (고대특강)
byJaeChun Lee
 
PDF
IoT 공통 보안가이드
by봉조 김
 
PPSX
사물인터넷(Internet of Things) 시대의 공개SW
by정명훈 Jerry Jeong
 
PDF
사물인터넷, 물리보안에 날개를 달다
byHakyong Kim
 
PDF
아이씨엔 매거진(99) May 2015. Industrial Communication Network MAGAZINE
bySeungMo Oh
 
PDF
2015 SW마에스트로 100+ 컨퍼런스_Hacking IoT
by2015 SW마에스트로 100+ 컨퍼런스
 
PDF
Softbox coding - raspberrypi3 b+ 2019 Lecture File
by봉조 김
 
PDF
Iot 전개 동향 및 주요 이슈
by메가트렌드랩 megatrendlab
 
PDF
사물인터넷 산업의 주요동향
by메가트렌드랩 megatrendlab
 
PDF
사물인터넷 기반의 은행권 금융서비스 제공방안
by메가트렌드랩 megatrendlab
 
PDF
사물 인터넷 뽀개기(취업 준비생 용)
byDonghyung Shin
 
PDF
Internet of Things
byDaeyoung Kim
 
Internet of thing with your future(공개용)
byjames yoo
 
Internet of thing with your future(공개용)
byjames yoo
 
홈가전io t보안가이드-최종본
by남억 김
 
The future of the iot final
byJaeyeonKim19
 
사물인터넷과 주변 생태계의 변화
byatelier t*h
 
교육정보서비스 사물인터넷 강의 6주
byJM code group
 
차세대 ICT융합산업 제품_서비스_보안위협_및_대응방향
by주형 오
 
The future of the internet of things
byJaeyeonKim19
 
Convergence Security (고대특강)
byJaeChun Lee
 
IoT 공통 보안가이드
by봉조 김
 
사물인터넷(Internet of Things) 시대의 공개SW
by정명훈 Jerry Jeong
 
사물인터넷, 물리보안에 날개를 달다
byHakyong Kim
 
아이씨엔 매거진(99) May 2015. Industrial Communication Network MAGAZINE
bySeungMo Oh
 
2015 SW마에스트로 100+ 컨퍼런스_Hacking IoT
by2015 SW마에스트로 100+ 컨퍼런스
 
Softbox coding - raspberrypi3 b+ 2019 Lecture File
by봉조 김
 
Iot 전개 동향 및 주요 이슈
by메가트렌드랩 megatrendlab
 
사물인터넷 산업의 주요동향
by메가트렌드랩 megatrendlab
 
사물인터넷 기반의 은행권 금융서비스 제공방안
by메가트렌드랩 megatrendlab
 
사물 인터넷 뽀개기(취업 준비생 용)
byDonghyung Shin
 
Internet of Things
byDaeyoung Kim
 

More from JM code group

PDF
빅데이터와 인문융합 비즈니스 모델
byJM code group
 
PPTX
핀테크 정보교육시스템 특론 마지막 강의
byJM code group
 
PPTX
로봇과 교육
byJM code group
 
PPT
빅데이터 힐링 맵 개발
byJM code group
 
PPTX
기술과 인문융합 (교육정보시스템특론) 12주
byJM code group
 
PPTX
라이프 로깅 서비스 교육정보시스템
byJM code group
 
PPTX
고대8 9주 빅데이터
byJM code group
 
PPTX
빅데이터와공공정보 - 최고위과정 특강
byJM code group
 
PPTX
고려대 교육정보 서비스 특론 7주
byJM code group
 
PPTX
고려대 교육정보서비스 시스템 4-5주
byJM code group
 
PPTX
교육정보서비스 특론 3주
byJM code group
 
PPTX
고대 대학원 교육정보서비스특론 2주
byJM code group
 
PPTX
고려대 워크샵 141206 강장묵
byJM code group
 
PPTX
모바일 미디어론 14주 모바일 공론장
byJM code group
 
PPTX
유비쿼터스환경과교육13주차141203
byJM code group
 
PPTX
모바일 미디어론 소셜미디어와 저널리즘
byJM code group
 
PPTX
모바일 미디어론 12주 141120
byJM code group
 
PPTX
유비쿼터스환경과교육11주차141119
byJM code group
 
PPTX
유비쿼터스환경과교육
byJM code group
 
PPTX
데이터 저널리즘
byJM code group
 
빅데이터와 인문융합 비즈니스 모델
byJM code group
 
핀테크 정보교육시스템 특론 마지막 강의
byJM code group
 
로봇과 교육
byJM code group
 
빅데이터 힐링 맵 개발
byJM code group
 
기술과 인문융합 (교육정보시스템특론) 12주
byJM code group
 
라이프 로깅 서비스 교육정보시스템
byJM code group
 
고대8 9주 빅데이터
byJM code group
 
빅데이터와공공정보 - 최고위과정 특강
byJM code group
 
고려대 교육정보 서비스 특론 7주
byJM code group
 
고려대 교육정보서비스 시스템 4-5주
byJM code group
 
교육정보서비스 특론 3주
byJM code group
 
고대 대학원 교육정보서비스특론 2주
byJM code group
 
고려대 워크샵 141206 강장묵
byJM code group
 
모바일 미디어론 14주 모바일 공론장
byJM code group
 
유비쿼터스환경과교육13주차141203
byJM code group
 
모바일 미디어론 소셜미디어와 저널리즘
byJM code group
 
모바일 미디어론 12주 141120
byJM code group
 
유비쿼터스환경과교육11주차141119
byJM code group
 
유비쿼터스환경과교육
byJM code group
 
데이터 저널리즘
byJM code group
 

2015 isaca conference_io_t_case_150904

  • 1.
    2015 ISACA KoreaConference2015 ISACA Korea Conference 사물인터넷 (IoT) 시대의 정보보호와 Cybersecurity Jang-Mook Kang |Jang-Mook Kang | Prof.Prof. Korea University Dep.Korea University Dep. Of ComputerOf Computer IoTIoT 기술과 보안 침해 사례기술과 보안 침해 사례 - 일시 : 2015 년 9 월 4 일 ( 금 ) 13:00 ~ 13:40 - 장소 : 신촌 연세대학교 새천년관
  • 2.
  • 3.
    1 장 .사물 인터넷과 보안의 원 리 출처 : http://regmedia.co.uk/2014/05/06/freescale_internet_of_things_overview_1.jpg
  • 4.
    IoT 기술과 보안 •IoT 기술과 보안 – IoT 의 의미 • IoT 기술이란 ? – The Internet of Things (IoT), which excludes PCs, tablets and smartphones, will grow to 26 billion units installed in 2020 representing an almost 30-fold increase from 0.9 billion in 2009, according to Gartner, Inc. – The Internet of Things is the network of physical objects that contain embedded technology to communicate and sense or interact with their internal states or the external environment. – ( 사용자 제어에 의해 동작하는 스마트 기기뿐만 아니라 , 자원제한적인 센서를 포함한 모든 기기들을 인터넷에 연결할 수 있는 기술 ) – 출처 – http://www.gartner.com/newsroom/id/2636073 – Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020, STAMFORD, Conn., December 12, 2013
  • 5.
    IoT 기술과 보안 •IoT 기술과 보안 – IoT 와 관계 • 관계 맥락 보안
  • 6.
    IoT 기술과 보안 •IoT 기술과 보안 – IoT 와 관계 • 사물의 확장 ( 웨어러블 등 ) 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • 7.
    IoT 기술과 보안 •IoT 기술과 보안 – IoT 와 관계 • 연결의 확장 ( 스마트 도시 등 ) 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • 8.
    IoT 기술과 보안 •IoT 기술과 보안 – 재연결 / 재구성의 부재 • 가치 사슬마다 보안 취약 포인트 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • 9.
    IoT 기술과 보안 •IoT 기술과 보안 – 바이오로 보는 사람에 대한 이해 • 나보다 나를 더 잘 이해하는 ? 출처 : http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • 10.
    IoT 기술과 보안 •IoT 기술과 보안 – 라이프 사이클과 보안 • 사물 인터넷의 에코 시스템과 라이프 사이클 맥락의 보안 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  • 11.
    부록 출처 : 정보통신기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
  • 12.
    2 장 .사물 인터넷의 보안 침해 사례
  • 13.
    IoT 와 보안침해 사례 • 보안 사례 1. - 다리미를 이용한 해킹 사례 사례 : 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고, 냉장고, TV 등이 해킹돼 1년간 75만 건의 스팸 메 일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다.  취약점 및 해결 방안 : 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후, 중요 모듈로 접근하는 방식을 취한다. 이 때문에 기기 운영 환경의 보안 과 기기 내 각 기능별 위협 확산 방지가 무엇보다 중요하다. 출처: http://www.boannews.com/media/view.asp?idx=42947 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  • 14.
    IoT 와 보안침해 사례 • 보안 사례 2. - 다리미를 이용한 해킹 사례 사례 : 2013년 10월 경, 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고, 냉장고, TV 등이 해킹돼 1년간 75만 건의 스팸 메일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다.  취약점 및 해결 방안 : 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후, 중요 모듈로 접근하는 방식을 취한다. 이 때문에 기기 운영 환경의 보안 과 기기 내 각 기능별 위협 확산 방지가 무엇보다 중요하다. 출처: http://www.boannews.com/media/view.asp?idx=42947 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  • 15.
    IoT 와 보안침해 사례 • 보안 사례 2. - 온도 조절 장치 기능 : - Nest 사의 Thermostat 은 사용자의 시간별 / 일별 선호 온도에 대한 학습 기능을 갖춤 – 부재중일 경우 , motion 센서를 사용하여 이를 감지하여 실내 난방 중지 (Auto-Away 기능 ) 기능에 따른 취약점 : 개인별 선호도 센싱 , 댁내 사용자 부재 여부 센싱 , 프라이버시 침해 문제 - WiFi 연결 가능 , 스마트폰 앱으로 실내 온도 제어 가능 출처 : http://www.krnet.or.kr/board/data/dprogram/1858/A1-3.pdf 출처 : http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  • 16.
    IoT 와 보안침해 사례 • 보안 사례 2. - 온도 조절 장치 출처 : http://cfile4.uf.tistory.com/image/2367014954C8028B3F024E http://gift.kisti.re.kr/data/file/GTB/h210219/h210219_1340802161892.JPG
  • 17.
    IoT 와 보안침해 사례 • 보안 사례 3. - 배시 (Bash) 또는 쉘쇼크 (Shellshock) 버그 사례 : 웹캠을 비롯해 집 현관 로킹장치 , 자동차 대시보드 , 계산기 , 토스터 , 기타 많은 종류의 IoT 기기가 대부분 배시를 실행하고 있음 취약점 및 해결 방안 : 배시는 유닉스와 리눅스 기반 컴퓨터에서 명령 프롬프트와 비슷한 명령에 사용되는 쉘 코드이며 , 미 국립표준기술원은 1-10 등급 척도에서 쉘쇼크 버그가 확고한 10 등급 ( 가장 나쁜 등급 ) 이라고 평가함 쉘쇼크를 악용하기 쉬운 이유는 아무런 인증 없이 코드를 추가할 수 있기 때문에 해커가 악용하기에 용이하고 , 어떤 부분이 악용되더라도 그 사실을 알아내는 것 자체가 거의 불가능한 것으로 알려짐 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12.
  • 18.
    IoT 와 보안침해 사례 • 보안 사례 3. 출처 : https://puppetlabs.com/sites/default/files/bash%20post%20image.png http://blog.trendmicro.com/trendlabs-security-intelligence/shellshock- related-attacks-continue-targets-smtp-servers/
  • 19.
    IoT 와 보안침해 사례 • 보안 사례 4. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 프라이버시 부문 정리
  • 20.
    IoT 와 보안침해 사례 • 보안 사례 5. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 스마트 홈
  • 21.
    IoT 와 보안침해 사례 • 보안 사례 6. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 네트워크
  • 22.
    IoT 와 보안침해 사례 • 보안 사례 7. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 제어 시스템 ( 냉난방시스템 통제 ) KISA 는 냉난방시스템 통제에 쓰이는 셋톱박스가 기업을 대상으로 한 디도스 (DDoS) 공격에 악용된 사례가 국내에서 발 견되었다고 발표 ( 산업용 제어시스템 ) 미 국토안보부는 최근에 인터넷에 연결되어 있으나 방화벽 , 인증접속제어 등으로 보호되지 않은 채 , 기계장비를 운용하 는 산업용 제어시스템에 대한 사이버공격에 대해 경고
  • 23.
    IoT 와 보안침해 사례 • 보안 사례 8. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 의료 ( 인슐린펌프 ) ’12 년 블랙햇 보안 컨퍼런스에서 해커가 800 미터 밖에서 인슐린 펌프를 조작하여 치명적인 복용량을 주 입할 수 있음을 증명
  • 24.
    IoT 와 보안침해 사례 • 보안 사례 9. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 교통 : 보안업체 IOActive Labs 가 Sensys Networks 의 도로차량 감지기술을 조사한 결과 , 광범위한 설계 및 보안 결함을 발견 . 특히 공격자는 센서를 가장해 교통관리시스템에 위조 데이터를 전송하거 나 신호 등 같은 주요 인프라 통제가 가능
  • 25.
    IoT 와 보안침해 사례 • 보안 사례 10. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 사이버 범죄 : 2014 년 6 월 , 유로폴 (Europol) 은 올해 또는 수년 안에 자동차 , 의료기 기 , 웨어러블 기기 등 IoT 기기를 해킹한 온라인 납치와 살인 등 사이 버범죄 발생을 우려하며 , 정부에 대책방안을 요구 : 미 보안기업 IID 는 수년 안에 IoT 기기를 통한 사이버 살인범죄가 발생 할 가능성이 있다고 전망 . 실제 IoT 기기의 보안취약점 정보를 거래하는 암시장이 존재
  • 26.
    IoT 와 보안침해 사례 • 보안 사례 11. 출처 : 정보통신 기술진흥연구 , IoT 현황 및 주요 이슈 , 2014.12. - 방송 :( 티비싱 ) 2013 년 블랙햇에서 중간자공격 (MITM, Man in the middle) 을 사용한 티비싱을 공개 ※ 티비싱 (TVshing=TV+Smishing) 은 TV 와 셋톱박스의 통신을 가로채 원래 방송자막 대신 공격자의 자막을 송출하는 기법
  • 27.
    공격 유형 등정리 출처 : http://blog.skcc.com/2194
  • 29.
  • 30.
  • 31.

Editor's Notes

  • #4 http://regmedia.co.uk/2014/05/06/freescale_internet_of_things_overview_1.jpg
  • #6 출처 http://www.iot-a.eu/public/news/resources/TheThingsintheInternetofThings_SH.pdf The relationship between all these terms is schematically summarized in Fig. 1: An entity of interest is monitored by a device in the environment, or it can also have a device attached to or embedded in it. As described above both classes of devices can be seen as entitities of interest when looking from a management perspective, hence the subclass relationship. The device hosts one or more resources which are accessed through services.
  • #7 출처 http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • #8 출처 http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • #9 출처 http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • #10 출처 http://www.slideshare.net/ChoHyunghun/iot-39152087?from_action=save
  • #11 출처: http://image.slidesharecdn.com/a6254bc9-9c15-4944-b7e9-bb3c52c290b4-735933088-140610113436-phpapp02/95/deloitte-and-mit-media-labs-internet-of-things-iot-workshop-1-638.jpg?cb=1403523345
  • #19 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #20 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #21 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #22 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #23 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #24 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #25 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #26 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.
  • #27 The attacker creates a custom email with Shellshock malicious code inserted in the Subject, From, Toand CC fields. The attacker then sends this email to any potential vulnerable SMTP server. When a vulnerable SMTP mail server receives this malicious email, the embedded Shellshock payload will be executed and an IRC bot will be downloaded and executed. A connection to IRC server will also be established. Attackers can then perform different routines with the mail server, such as launching a spam run.