OWASP IoT(Internet Of Things) Top 10에 대하여 알아보자!

 

OWASP IoT(Internet of Things) Project

• 사물인터넷(Internet of Things, 이하 'IoT')의 정의 : 일상적인 사물이 네트워크에 연결되어 데이터를 주고받을 수 있도록 하는 인터넷 개발 제안
• OWASP IoT Project : 제조업체, 개발자 및 소비자가 사물인터넷과 관련된 보안 문제를 더 잘 이해하도록 돕고 모든 상황에서 사용자가 IoT 기술을 구축, 배포 또는 평가할 때 더 나은 보안 결정을 내릴 수 있도록 설계함
• 프로젝트 범주 : 탐색 및 이해, 검증 및 테스트, 거버넌스 

---

OWASP IoT Project for 2018 (top 10)

1. 쉽거나, 유추할 수 있거나, 하드코딩 된 암호 / Weak, Guessable, or Hardcoded Passwords
   • 배포된 시스템에 대한 무단 액세스를 허용하는 펌웨어 또는 클라이언트 소프트웨어의 백도어를 포함하여 쉽게 '무차별 대입(Brute-forced)'되거나 공개적으로 사용하능하고나, 변경할 수 없는 자격 증명을 사용하는 경우
   • Use of easily bruteforced, publicly available, or unchangeable credentials, including backdoors in firmware or client software that grants unauthorized access to deployed systems. 
   • 해설
     • 대부분의 IoT 장비, 특히 웹 인터페이스와 함께 제공되는 장치는 사용자가 기본암호를 변경할 수 있도록 재구성되지 않으므로 취약한 상태가 됨. <- 공격자가 암호를 쉽게 추측하거나 무차별 대입할 수 있음. 
     • 장치의 암호를 변경할 수 있는 옵션이 없다는 것 또한 심각한 보안 결함. 
2. 안전하지 않은 네트워크 서비스 / Insecure Network Services
   • 장치 자체에서 실행되는 불필요한 네트워크 서비스, 특히 인터넷에 노출된 서비스로 정보의 기밀성, 무결성(진정성) 또는 가용성을 손상시키거나 무단 원격제어를 허용하는 경우
   • Unneeded or insecure network services running on the device itself, especially those exposed to the internet, that compromise the confidentiality, integrity/authenticity, or availability of information or allow unauthorized remote control.
   • 해설
     • 방화벽, 침입 탐지 시스템/ 침입방지 시스템(IDS/IPS), 통합 위협 관리 솔루션(UTM)등과 같은 네트워크 도구와 관련
     • IOT보안은 종종 무단 액세스(기본암호, 열린 포트 등)등으로 인해 손상되었으며 잠재적으로 이런 장치는 더 큰 봇넷의 일부로 활용가능함. * 봇넷 : 대상 웹사이트 또는 네트워크 리소스에 대한 분산 서비스 거부 (DDoS) 공격가 같은 위협을 실행하는데 자주 사용
   • 네트워크 보안 강화 방안
     • 불필요한 포트 및 취약한 서비스 끄기
     • 스마트 기기를 위한 별도의 네트워크 구축
     • 원격 액세스를 사용하는 모든 서비스 비활성화
     • 정기 업데이트 설치 등
     • 안전하지 않은 네트워크(ex. 공용 Wi-FI)를 통해 연결하지 않도록 주의
3. 안전하지 않은 생태계 인터페이스 / Insecure Ecosystem Interfaces
   • 디바이스 또는 관련 구성요소의 침해를 허용하는 디바이스 외부 생태계의 안전하지 않은 웹, 백엔드 API, 클라우드 또는 모바일 인터페이스. 일반적인 문제에는 인증/승인의 부재, 암호화의 부재 또는 빈약함, 입출력 필터링의 부재 등이 포함됨. 
   • Insecure web, backend API, cloud, or mobile interfaces in the ecosystem outside of the device that allows compromise of the device or its related components. Common issues include a lack of authentication, authorization, lacking or weak encryption, and a lack of input and output filtering.
   • 해설 : 스마트 장치와 상호작용할 수 있는 웹, 클라우드, 모바일 또는 백엔드 API와 같은 인터페이스는 인증/승인 구현에 취약성, 암호화 취약성, 데이터 필터링을 포함할 수 있음 -> 장치 또는 관련 구성 요소를 손상시킬 수 있음
4. 안전한 업데이트 매커니즘의 부재 / Lack of Secure Update Mechanism
   • 디바이스를 안전하게 업데이트 할 수 있는 기능의 부재. 여기에는 디바이스의 펌웨어 검증 부재, 안전한 전송 방법의 부재(전송 중 암호화되지 않음), 롤백 방지 매커니즘의 부재, 업데이트로 인한 보안 변경 알림의 부재가 포함
   • Lack of ability to securely update the device. This includes lack of firmware validation on device, lack of secure delivery (un-encrypted in transit), lack of anti-rollback mechanisms, and lack of notification of security changes due to updates.
   • 구현 필요 기능
     • 롤백 방지 메커니즘
     • 보안 전달(일반 텍스트로 업데이트를 보내지 않고 업데이트에 서명)
     • 장치의 펌웨어 유효성 검사
5. 안전하지 않거나 오래된 구성요소 사용 / Use of Insecure or Outdated Componets
   • 디바이스 침해를 유발하는, 지원이 중단되거나 안전하지 않은 소프트웨어 구성요소/라이브러리를 사용함. 여기에는 운영체제 플랫폼의 안전하지 않은 개조, 침해된 공급망에서 나온 서드파티 소프트웨어 또는 하드웨어 구성요소를 사용하는 것이 포함됨. 
   • Use of deprecated or insecure software componetns/libraries that could allow the device to be compromised. THis includes insecure customization of operating system platforms, and the use of third-party software or hardware components from a compromised supply chain. 
   • 해설 : 손상된 공급망과 관련된 위험은 초기에 제조 프로세스를 조작할 수 있으며 감지되지 않은 상태로 유지되어 장치의 보안에 심각한 영향을 미칠 수 있음. *시만텍 인터넷 보안 위협 보고서 : 공급망 공격은 2018년에 78% 증가
6. 불충분한 개인정보 보호 / Insufficient Privacy Protection
   • 사용자의 개인 정보가 디바이스 또는 생테계에 저장되어 안전하지 않게, 부적절하게 또는 사용자 허가 없이 사용되는 것
   • User's personal information stored on the device or in the ecosystem that is used insecurely, improperly, or without permission.
   • 해설
     
     • IoT네트워크 트래픽을 분석하는것만으로도 수동적 관찰자(ex. ISP)가 수집할 수 있는 정보를 조사함. 트래픽이 암호화 된 경우에도 유효
7. 안전하지 않은 데이터 전송 및 저장 / Insecure Data Transfer and Storage
   • 보관, 전송 또는 처리 중을 포함하여 생태계 내의 어디서든 민감한 데이터의 암호화 또는 액세스 제어가 이뤄지지 않는 것
   • Lack of encryption or access control of sensitive data anywhere within the ecosystem, including at rest, in transit, or during processing.
8. 디바이스 관리의 부재 / Lack of Device Management
   • 프로덕션에 배포된 디바이스에 대한 자산 관리, 업데이트 관리, 안전한 폐기, 시스템 모니터링 및 응답 기능을 포함한 보안 지원의 부재
   • Lack of security support on devices deployed in production, including asset management, update management, secure decommissioning, systems monitoring, and response capabilities.
   • 해설 : 네트워크와 상호작용하고, 이에 액세스 할 수 있는 장치들을 관리해야 함. 
9. 안전하지 않은 기본 설정 / Insecure Default Settings
   • 안전하지 않은 기본 설정 상태로 출하되는 디바이스 또는 시스템, 또는 작업자에 의한 구성 수정을 제한하여 시스템을 더 안전하게 보호하는 기능의 부재
   • Devices or systems shipped with insecure default settings or lack the ability to make the system more secure by restricting operations from modifying configurations.
   • 해설
     • 하드코딩된 암호, 루트권한으로 실행되는 노출된 서비스 등 
     • 캘리포니아에는 IoT 장치 제조업체가 고유한 사전 프로그래밍 된 암호를 설정하거나 사용자가 장치를 사용하기 전에 암호를 변경하도록 요구하는 법이 존재. 
10. 물리적 보호 수단의 부재 / Lack of Physical Hardening
    • 물리적 보호 수단이 없어 잠재적 공격자가 미래의 원격 공격에 활용할 민감한 정보를 입수하거나 디바이스 장비를 장악할 수 있도록 하는 것
    • Lack of physical hardning measures, allowing potential attackers to gain sensitive information that can help in a future remote attack or take local control of the device. 
    • 해설
      • 일반적으로 제거되지 않거나 비활성화되지 않은 디버그 포트는 장치가 해커의 액세스에 취약학 만듦 
      • 내용을 읽기 위해 메모리 카드를 제거하는 것 만으로도 암호나 기타 민감한 데이터가 노출될 수 있음
      • 보안 부팅을 사용하면 펌웨어의 유효성을 검사하고 신뢰할 수 있는 소프트웨어만 장치에서 실행할 수 있음

---

철학 / Philosophy

• OWASP 사물인터넷 프로젝트 : 개발자, 제조업체, 기업 및 소비자가 IoT시스템의 생성 및 사용과관련하여 더 나은 결정을 내릴 수 있도록 돕기 위해 2014년에 시작
• OWASP IoT Top 10 2018 release : IoT시스템을 구축, 배포 또는 관리할 떄 피해야 할 10가지 주요 사항

---

방법론 / Methodology

• 프로젝트 팀 : 제조업체, 컨설팅, 보안테스터, 개발자 등을 비롯한 여러 전문분야에 걸친 경험을 가진 보안업계의 자원 봉사자 모음
• 프로젝트 단계
  1. 팀 구성
  2. 프로젝트 검토
  3. 데이터 수집
  4. Sister Project Review : 수십개의 다른 IoT 보안 프로젝트 검토. ex. CSA IoT Controls Matrix, CTIA, Secure Internet of Things Project by Stanford univ., NISTIR 8200, ENISA IoT Baseline Report, 소비자 IoT 보안 실행 강령 등
  5. 커뮤니티 초안 피드백
  6. 출시 / Release

 

OWASP IOT Top 10