아마존에서 구매한 야외용 감시카메라에 맬웨어가 선탑재 되었다는 주장이 제기 되었다. 미국의 보안 연구원 마이크 올슨에 의하면 친구집에 설치할 감시 카메라를 아마존에서 구입 했는데 친구 컴퓨터에 프로그램을 설치하는 과정에서 이상한 점을 발견했다고 한다.
개발자 툴로 코드를 자세히 들여다 본 결과 BODY 태그 맨 아랫 부분 iframe에 의문의 URL 링크가 걸려 있었다. 이 URL은 맬웨어를 배포하는 악성 도메인으로 구글의 무료 보안 서비스 바이러스토탈의 블랙리스트에도 수록되어 있고, 한 달 전에도 SC10 IP 카메라 펌웨어를 업그레이드 하는 과정에서 동일한 링크를 발견했다는 주장이 제기된 바 있다. 올슨 연구원은 이같은 사실을 자신의 블로그를 통해 알렸다.
아마존에서 판매되는 전자제품에 맬웨어가 선탑재 혹은 감염된 사례는 이번이 처음이 아니다. 작년 11월 중국 모바일 인터넷 회사 치타모바일은 아마존에서 판매되는 태블릿 수천대를 구입해 조사한 결과 17,233대가 Cloudsota라 불리는 트로이에 감염되어 있는 상태로 판매되고 있다고 발표한 바 있다.
치타모바일에 의하면 이 트로이는 사용자 몰래 애드웨어와 맬웨어를 설치하고, 배경화면 변경, 검색 결과를 다르게 표시, 기본 브라우저 변경, 팝업 광고, 사용자가 삭제해도 재설치 등의 악성 기능을 수행한다고 한다. 그동안 이 태블릿 사용자들은 앱이 삭제되지 않고 팝업 광고가 자주 뜬다고 불만을 제기해 왔다.
아마존 판매제품만 아니라 미국 정부기관 납품 제품에서도 비슷한 사례가 종종 발견된다. 한 예로, 작년 11월 미국 전역에서 경찰들이 업무 중 사용하는 마텔社 바디카메라에 Conficker 맬웨어가 선탑재되었다는 주장이 제기되었다. 미국 네트워크 회사 iPower Technologies는 마텔社 바디카메라를 테스트하는 과정에서 Win32/Conficker.B!inf 웜에 감염되었다는 것을 발견했다고 밝혔다. 바이러스 백신이 없는 컴퓨터에 바디카메라를 연결하는 경우 Conficker가 자동 실행되어 네트워크에 연결된 다른 컴퓨터도 감염시킨다는 것.
2008년 처음 알려진 Conficker는 F-Secure 보안위협 보고서에 의하면 2014년도 글로벌 보안 위협의 37%를 차지하는 등 아직도 여전히 큰 보안 위협으로 존재하고 있다. Conficker가 어떤 경위로 바디카메라에 설치되었는지는 분명하지 않지만 판매 제품이 감염된 상태로 판매되었을 가능성이 크다고 iPower는 주의를 요했다.
작년 초 레노버 노트북에도 사용자가 https 웹사이트에 접속하면 가짜 SSL 인증서를 만들어 암호화된 접속을 가로챌 수 있는 맬웨어로 알려진 슈퍼피시(Superfish) 애드웨어가 선탑재된 것이 밝혀져 논란이 된 적도 있다.
미국 정부는 일찍부터 사물인터넷 보안 강화를 위한 다양한 대책을 마련 중이다. 사물인터넷 사기 방지 대책을 정부 차원에서 수립해야 한다는 내용의 사물인터넷 결의안이 작년 미 상원을 통과했으며, US-CERT와 FBI는 사물인터넷 보안 권고문 공동 발표를 통해 사물인터넷 위험과 공격 시나리오별 주의사항을 숙지시킨 바 있다.
미국 방위고등연구계획국(DARPA)에서는 3천6백만 달러 투입 사물인터넷 연구 프로젝트 1단계가 진행 중이다. 사물인터넷에 연결된 모든 기기를 모니터링해 보안을 강화하는 시스템을 개발하는 것이 목적인 이 프로젝트는 기기에서 자연 방사되는 열, 전자기파, 음향 등을 감지해 메모리 접속 가능한 부분을 확인하고, 모조 회로, 가짜 기기를 탐지하는 등의 첨단 기술을 개발하게 된다.
미국 국가안보국(NSA) 통신과학연구소는 사물인터넷 테스트 사무실을 별도로 마련, 각종 사물인터넷 테스트를 통해 보안을 분석하고 있으며, NIST는 사이버-물리적 시스템 보안 가이드와 사물인터넷 소비자 개인정보보호 표준 개발을 진행하고 있다.
일본 정보기술진흥원도 작년 사물인터넷 제품 및 서비스의 안전과 보안 설계 촉진을 위한 가이드북을 발행했다. 총 90페이지 분량의 이 가이드는 사물인터넷 보안 설계의 중요성, 위험 분석 기법, 안전 설계 방법, 시각화 하기, 경영진 참여에 관한 내용을 다루고 있다.
앱스토어와 달리 오픈마켓 판매자들은 물리적 제품 보안을 일일이 확인할 수 없으므로 제조사들의 보안 강화와 판매 제품이 감염된 상태로 판매될 경우 책임을 묻는 것 외에는 다른 방법이 현재로는 없는 상황이다. 전문가들은 사물인터넷은 이미 도입 여부 고민이 아니라 대책수립이 필수인 시급한 사안이라고 대책 마련의 중요성을 강조했다.