PETIoT: IoT 보안을 꿰뚫는 새로운 침투 테스트 방법론

초록

본 논문은 IoT 장치의 보안성을 평가하기 위한 새로운 사이버 킬 체인(Cyber Kill Chain)인 PETIoT를 제안한다. 기존 방법론의 복잡성을 줄이고 IoT에 특화된 실용적인 단계를 정의한 PETIoT를 통해, Amazon 이탈리아에서 베스트셀러인 TP-Link TAPO C200 IP 카메라에서 3개의 제로데이 취약점(1개 High, 2개 Medium)을 발견하고 실증적으로 공격하였다. 또한, 발견된 취약점에 대한 수정 방안을 제시하고 책임적 공개를 통해 펌웨어 업데이트로 이어졌음을 보여준다.

상세 분석

본 논문의 핵심 기여는 IoT 침투 테스트의 실질적인 난제를 해결하는 ‘PETIoT’라는 새로운 방법론 프레임워크를 제안한 점에 있다. 기존의 Lockheed Martin Cyber Kill Chain이나 MITRE ATT&CK과 같은 범용 킬 체인은 단계가 많고, IoT 장치라는 특정 타겟에 대해 ‘정찰(Reconnaissance)‘이나 ‘무기화(Weaponization)’ 같은 단계가 불필요하게 중복되거나 과도하게 상세할 수 있다는 문제의식을 출발점으로 삼았다.

PETIoT는 이러한 비대해진 단계를 정리하고, IoT 장치가 물리적/논리적으로 테스터에게 주어졌다는 전제 하에, 본질적인 공격 및 평가 단계에 집중한 ‘슬림(slim)‘한 6단계 프로세스를 정의한다. 특히 네트워크 환경(예: 클라우드 서버, 모바일 앱)과의 상호작용을 포함한 장치 자체를 평가 대상으로 삼는 점이 특징이다. 더욱 혁신적인 점은 공격 단계뿐만 아니라 ‘방어 및 수정(Fix)’ 단계를 명시적으로 포함시켜, 침투 테스터의 궁극적인 목적인 보안성 강화를 방법론에 직접 반영했다는 것이다. 이는 공격 중심의 ATT&CK과 방어 중심의 D3FEND을 통합한 접근법으로 평가할 수 있다.

TP-Link TAPO C200 카메라에 대한 실증 연구는 PETIoT의 실용성을 입증한다. 네트워크 스캐닝, 트래픽 분석 등 기본적인 무료 도구만을 사용하여 (1) 부적절한 패킷 처리로 인한 카메라 서비스 거부(DoS, CVSS 6.5), (2) 암호화된 모션 감지 알림의 엔트로피 부족으로 인한 기능 우회(CVSS 5.4), (3) 비디오 스트림의 평문 전송으로 인한 영상 탈취(CVSS 8.8)라는 세 가지 제로데이 취약점을 발견했다. 특히 세 번째 취약점에 대해서는 Raspberry Pi를 이용한 암호화 터널링을 통한 홈메이드 수정 방안의 개념 증명(PoC)까지 제시하였다. 이 모든 과정이 책임적 공개를 통해 벤더의 펌웨어 업데이트로 이어진 것은 학술 연구의 실질적인 보안 영향력을 보여준 사례이다.