안전·재난, 환경 IoT 서비스는 정보 수집, 정보 전달, 정보 가공 및 정보 활용의 일련의 단계를 거치며 각 단계별로 첨단 ICT) 기술이 활용된다. 각 단계별로 활용되는 ICT 기술은 사물로부터 다양한 상태 정보(안전상태, 재난발생 및 환경오염 등)를 측정·수집하는 IoT 디바이스 기술, IoT 디바이스로부터 정보를 수집하여 서버(플랫폼 등)로 전송하고 서버로 부터 전송되는 제어 명령을 IoT 디바이스로 전송하는 역할을 수행하는 IoT 게이트웨이 기술, 수집된 사물 정보를 IoT 게이트웨이 및 플랫폼으로 전송하기 위해 사용되는 네트워크 기술(근거리 무선 네트워크, 유·무선 네트워크), IoT 디바이스에서 생성된 정보를 수집·
저장·가공·분석하는 플랫폼 기술, 플랫폼에서 제공하는 공공데이터를 활용하여 안전·재난, 환경 등 다양한 분야에서 시민·기관·기업에게 서비스를 제공하는 IoT 서비스 기술로 구성된다. 사물로부터 정보 수집, 정보 전달, 정보 가공 및 정보 활용 단계에서 다양한 ICT 기술이 활용됨에 따라 다양한 사이버 보안위협도 존재하며, 안전·재난, 환경 IoT 서 비스를 구성하는 구성요소별로 존재하는 보안위협은 아래와 그림과 같다.
[그림 21] 안전·재난, 환경 IoT 서비스 기술요소별 보안위협
안전·재난, 환경 IoT 서비스에 대한 보안위협의 상세 내용은 아래와 같으며, 각 보안위협을 악용하기 위한 가능한 위협 시나리오는 본 장의 제3절에 제시되어 있다.
보안위협 설 명
소프트웨어·펌웨어 변조 및 악용
•IoT 제품의 소프트웨어 및 펌웨어를 불법적으로 위·변조하거나, 취약점을 악용하여 악성코드 삽입 또는 민감한 데이터에 불법적으로 접근 시도
전송 메시지 유출 및 변조
•IoT 제품 간 유·무선 네트워크를 통해 전송되는 민감한 데이터를 불법적으로 유출 또는 변조
저장 데이터 유출 및 변조
•IoT 제품 내부에 저장된 운영 관련 중요 데이터 또는 민감한 데이터를 불법적으로 유출 또는 변조
위장(Spoofing) •정당한 사용자 또는 IoT 제품으로 위장하여 IoT 서비스에 불법적으로 접근 시도
물리적 인터페이스 접근
•IoT 제품의 물리적 인터페이스 접근을 통해 펌웨어 불법적으로 교체 또는 탈취하거나 악성코드를 무단으로 삽입
취약한 네트워크 서비스
•제거되지 않은 IoT 제품의 불필요한 네트워크 서비스를 통해 IoT 제품 또는 민감한 데이터로 접근 시도
보안구성 옵션 미흡 •IoT 제품에서 강력한 비밀번호 적용, 암호화 적용, 사용자 권한별 접근권한 설정 등 보안구성이 미흡하여 IoT 디바이스로 불법 접근 허용
서비스거부공격 •대량의 네트워크 트래픽을 유발시켜 IoT 자원 및 대역폭을 고갈시키거나 무선신호 방해, 혼선 등을 통해 정상적인 IoT 서비스를 방해
프라이버시 침해 •IoT 제품이 수집하는 민감 개인정보(이름, 주소, 생년월일, 신용카드 번호, 위치, 건강 정보 등)를 불법적으로 유출하여 프라이버시 침해
무작위 공격 •사용자 인증 정보에 대한 무작위 공격을 수행하여 IoT 제품 또는 네트워크에 불법적으로 접근 시도
[표 40] 안전·재난·환경 IoT 서비스 주요 보안위협
•환경 분야 IoT 서비스에 대한 위협 시나리오 사례•
○○구에는 ○○천이 있으며 제품 생산을 위한 많은 공장이 밀집해 있는 지역이다. ○○
구청에서는 ○○천 수질오염을 감지하기 위한 디바이스를 설치하고 관제센터를 통해 모니터링 시스템을 구축하여 운영 중이다. 어느 날부터 ○○천에서 악취가 난다는 시민들의 민원이 ○○구청으로 접수되어 이를 이상하게 여긴 ○○구청에서 관제센터 모니터링 시스템을 확인하여 이상이 없음을 확인하였으나, 현장 실사를 통해 공장 등에서 배출된 오폐수로 인한 ○○천의 수질 오염 및 악취를 확인하였다. 그래서 설치된 디바이스를 확인해보니 누군가가 디바이스를 불법 조작하여 잘못된 정보를 관제센터로 전송하고 있었다.
•안전 분야 IoT 서비스에 대한 위협 시나리오 사례•
○○아파트에서는 방문자 출입 관리 서비스를 활용하여 방문자의 스마트폰 어플리케이션을 통한 방문자 식별을 수행한다. ○○아파트 거주자 A씨는 바쁜 회사생활로 인해 특정 시간 대에 주기적으로 집을 청소해주는 청소대행 업체를 이용하고 있다. A씨의 옆집에 살고 있는 컴퓨터 전문가 B씨는 ○○아파트 네트워크를 통해 방문자 출입 관리 서비스를 분석하여 방문자 ID 발급 어플리케이션이 무결성 점검을 수행하지 않는다는 사실을 알게 되었다.
그리하여 B씨는 방문자 ID를 청소대행 업체의 ID로 위장하여 A씨의 거주지로 무단 침입 후 금전적 이득을 취했다.