2024-03-30 00:15 (토)
인명 피해로 직결될 수 있는 배터리 해킹 위협
상태바
인명 피해로 직결될 수 있는 배터리 해킹 위협
  • 길민권
  • 승인 2011.08.24 00:46
이 기사를 공유합니다

노트북 배터리의 펌웨어가 해커에 의해 변조될 수 있다는 것 증명
Massive attack으로도 심각한 피해 발생할 수 있다는 점 인지해야
애플 해커로 잘 알려진 찰리 밀러(Charlie Miller)가 얼마전 세계적인 보안 컨퍼런스인 블랙햇에서 Apple 맥북 제품들을 대상으로 한 배터리 해킹에 대해서 발표했습니다.(사진출처. www.flicker.com / by indi.ca) 
◇Forbes: www.forbes.com
◇Charlie Miller: www.tomshardware.com
◇블랙햇 발표 자료: www.accuvant.com
 
당시 많은 해커들과 언론에게 주목을 받았었는데 다음과 같은 이유 때문이었습니다.
 
–알려진 레퍼런스가 거의 없는 상태에서 진행된 연구
–배터리 해킹을 통하여 물리적인 피해를 가할 수 있다는 위협
(펌웨어 조작을 통한 배터리 과충전 유발 후, 화재 가능성 제기)
 
해커들이 연구를 진행할 때, 해당 연구에 대해 참고할만한 문서나 자료가 있는 경우와 그렇지 않은 경우의 난이도는 천지차이라고 봐야합니다. 우선 정확한 참고 자료가 없기 때문에 연구를 어떻게 시작해야 할지도 모를 뿐더러 해당 연구가 성공이 가능한 연구인지 아닌지조차 파악할 수 없기 때문입니다. 그러므로 연구 결과의 난이도를 떠나서, Charlie Miller의 도전 정신을 높게 봐야합니다.
 
개인적으로 이번 연구에 대해 갈채를 보내고 싶은 점은 훌륭한 주제를 선택했다는 것입니다. 유명한 해커들은 기술적으로 어려운 것만을 추구하려는 경향이 있습니다. 그러나 본인들의 연구 결과에 따라 사회적인 파장을 줄 수 있다는 점에서 봤을 때, 어떤 위협들이 사람들에게 실제 영향을 줄 수 있는지 지적해주는 것도 중요합니다. 그런 면에서 Charlie Miller의 이번 발표는 사람들에게 새로운 형태의 위협에 대해서 알렸다는 점에서 인정을 받을만한데, 어떤 위협인지 알아보겠습니다.
 
사람들에게 인명 피해나 물리적 재산 피해를 줄 수 있는 해킹으로 가장 알려진 위협은 스카다해킹(SCADA Hacking)입니다. 예를 들어 물의 수위를 조절하는 댐의 네트워크 시스템이 해킹 당한다면 홍수 등 재난 사고가 인위적으로 발생될 수 있습니다.
 
이것은 실제 재산 뿐만 아니라 인명 피해로도 직결될 수 있다는 점에서 DDoS나 게임 계정 해킹 같은 일반적인 소프트웨어 해킹으로 인해 발생하는 피해랑은 성격이 다르다고 볼 수 있습니다.
 
해커 입장에서 봤을 때 공격 유형은 크게 두 가지로 구분할 수 있습니다.
 
1. Targeted attck
1) 주로 SCADA등의 민감한 시설에 침입하기 위함
2) 비밀 정보를 훔쳐오기 위한 목적
3) 시설 파괴, 인명 피해를 일으킬 수 있음
 
2. Massive attack
1) 불특정 다수를 대량으로 공격
2) DDoS에 사용하기 위한 Botnet 형성
3) 사생활 노출, 인터넷 뱅킹/게임 계정 획득 등 금전 취득이 주목적
 
Massive attack은 사용자 개개인의 입장에서 봤을 땐 비교적 위험 수위가 높지 않다고 볼 수 있습니다. 본인의 PC가 DDoS 공격에 사용되더라도 본인의 재산에는 피해가 없고, 설사 게임 계정이나 인터넷 뱅킹이 도용 당하더라도 인명 피해는 일어나지 않습니다. 그러나 SCADA 네트워크가 해킹 당하였다면 물리적인 인명 피해가 실제로 일어날 수도 있다는 점에서, Targeted attack이 훨씬 위험한 공격이라고 볼 수 있습니다.
 
이번 배터리 해킹의 연구는 사용자가 실제 물리적인 피해의 위협에 노출될 수 있다는 점에서 위험합니다. 이번 연구 결과를 통하여, 노트북 배터리의 펌웨어가 해커에 의해서 변조될 수 있다는 것이 증명되었습니다. 다양하게 악용될 수 있지만 대표적인 위협으로는 배터리 과충전으로 인한 화재나 폭발입니다.
 
이러한 위협들은 SCADA와 같이 물리적인 피해로 직결될 수 있다는 점에서 동일하다고 볼 수 있으나, 새로운 시각으로 위협 평가를 해야 합니다. 그 이유는, SCADA는 Targeted attack을 통해서 이루어지지만, 배터리 해킹은 Massive attack을 통해서 일어나기 때문입니다.
 
지금까지는 Massive attack이 사용자에게 물리적인 피해를 줄 수 있다는 점에 대해서 고려하지 못한 것이 사실입니다. 또는 구체적인 내용이나 증명 없이 상상만으로만 언급되었던 문제였습니다. Charlie Miller의 발표로 인해 이러한 것들이 구체화되었다고 볼 수 있습니다.
 
왜 이번 배터리 해킹 발표를 새로운 시각에서 봐야하는지 알아보겠습니다.
 
1. Massive attack으로 인한 물리적 피해
앞서 언급했듯이, Massive attack은 물리적 피해로는 직결될 수 없다는 것이 일반적인 생각이었습니다. 그러나 이번 발표로 인해, 사용자가 해킹을 당할 경우 배터리 과충전으로 인한 화재 등으로 물리적 재산상의 피해나 인명 피해의 가능성이 제기되었습니다.
 
2. 수 많은 사용자를 완벽히 보호하기는 불가능
인명 피해는 최상위 피해 등급이라고 볼 수 있는데, 현재 구조에서는 이러한 위협으로부터 수 많은 인터넷 사용자를 완벽하게 보호하기는 불가능합니다. SCADA와 같은 특정 기관은 보안을 위해서 많은 노력을 기울인다면 대부분의 위협을 차단할 수 있지만 불특정 다수의 인터넷 사용자들을 보호하는 것은 사실상 힘들다고 생각할 수 있습니다.
 
3. 대응책이 준비되지 않은 상황
그동안 정부에서는 Massive attack에 대응하기 위해 여러 보안 정책을 마련해왔습니다. 정부의 노력들로 인해 좀비 에이전트들이 치료되고 있는 등 긍정적인 효과를 보고 있습니다. 그러나 감염된 모든 컴퓨터들을 치료하는 것은 불가능합니다. 기존 환경에서는 일부 좀비 노트북들이 치료되지 않더라도 개인이나 사회 전체에 별다른 영향을 주지 못하기 때문에 그대로 방치하여도 큰 문제가 없었지만, 배터리 해킹처럼 물리적 위협에 영향을 줄 수 있는 것들은 전혀 다른 이야기입니다. Massive attack으로 공격 당한 노트북들 중, 단 1%라도 화재의 위험에 놓여있게 된다면 지금까지와는 차원이 다른 위협이 될 수 있습니다.
 
다시 말하면, 정부 입장에서는 국민들에게 인명 피해가 일어날 수 있는 위협이라면 “예외 없이” 모든 컴퓨터들을 치료해야만 하는데 아직 그러한 준비가 안되어 있다는 것입니다.
 
다음과 같은 위협 시나리오를 생각해볼 수 있습니다.
 
[가상 공격 시나리오]
1) 악의적인 목적을 가진 타국의 해커가 대한민국의 포털 사이트를 해킹하여 악성 코드 전파
2) 대한민국 국민들의 노트북 50만대가 감염됨
3) 해당 악성 코드에는 배터리 과충전을 유도하는 악성 기능이 포함되어 있음
4) 정부는 긴급 대응을 해보지만 1%에 해당하는 노트북 5,000대는 치료하지 못하였음
5) 이 감염당한 노트북들은 잠재적으로 화재의 위협에 있음
 
결론을 내려보겠습니다. 이번에 Charlie Miller가 블랙햇에서 시연한 배터리 해킹의 경우, 대중에게 인명 피해나 실제적 재산 피해를 일으킬 수 있다는 점에서 새로운 시각에서 바라보고 대응해야 할 필요가 있습니다.
 
Apple도 이번 발표의 심각성을 인지하였기 때문에 앞으로 조치를 취할 것으로 예상됩니다. 제조사 입장에서는 여러 방어 방법이 있을 수 있는데 간단하게는 배터리 펌웨어의 패스워드를 보호하는 것부터 시작하여 별도의 레이어를 구성하여 과충전 등의 오동작을 차단하는 회로를 삽입할 수도 있습니다. 이러한 제조사들의 노력과는 별개로, 정부 입장에서는 만에 하나의 사건이 일어날 경우에도 대비해야 합니다.
 
그러나 현재의 보안 정책으로는 이러한 위협에 완벽히 대응하기가 불가능하기 때문에 정부나 관련 기관에서는 Massive attack으로도 크리티컬한 피해가 일어날 수 있다는 점을 분명히 인지해야 합니다. 그리고 언더그라운드나 민간 업체들과의 공동 연구를 통해 이 위협 모델을 새로운 카테고리에 추가하여 평가하고 대응책을 마련해야 합니다.
 
마지막으로, 이번 배터리 해킹 연구는 아직 완성 단계라 볼 수 없습니다. 명확히 밝혀져야 할 부분이 더 있으며, 과충전으로 인한 화재 가능성도 아직 100% 증명되었다고 볼 수 없기 때문에 이 블로그 글이 과잉 염려로 생각될 여지도 있습니다.
 
그러나 본 글에서 말하고 싶은 점은, Massive attack도 언제든지 물리적인 피해로 연결될 수 있으며, 현재 보안 정책으로는 이러한 위협을 예방하거나 차단하는 것이 불가능하다는 것입니다. 위협 평가 자체가 선행되지 않았기 때문에 대응을 할 수 없는 것입니다.
 
또한, 배터리 해킹 이외에도 물리적인 피해로 연결될 수 있을만한 공격 벡터는 항상 잠재되어 있다고 가정해야 하기 때문에 본 문제점에 대해서 새로운 시각으로 보고 진지하게 받아들여야 할 필요가 있습니다.

리뷰를 해주신 분들입니다. 감사합니다!
ByungHo Min(민병호)
Twitter – twitter.com/tais9
Facebook – www.facebook.com/tais9
[글. beistlab 이승진 / beistlab.com]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★