지난 8월 열린 개발자 회의 데프콘 29(DEF CON 29)에서 세계 최대 농업 기계 제조사인 디어앤컴퍼니(Deere & Company) 서비스가 무단 액세스에 취약하다는 걸 보여줬다. 보안 업체 카스퍼스키랩이 실제 무단 액세스 방법과 영향에 대해 해설을 해 눈길을 끈다.
디어앤컴퍼니에 대한 무단 액세스 기술을 발표한 건 화이트해커 집단(Sick.Codes) 일원인 케빈 케니. 그는 당초 디어앤컴퍼니 배포 서비스 개발자 계정을 취득해 무단 액세스에 대한 검증을 할 예정이었다. 하지만 그가 만든 계정 사용자명을 깜박해서 잊게 됐고 그는 계정 생성 화면에 사용자명 여러 개를 입력해봤는데 복잡한 인증은 표시되지 않고 여러 번 이미 사용자명이 사용되고 있는지 여부를 확인할 수 있었다고 한다. 이 때문에 그는 디어앤컴퍼니 계정 생성 페이지에 무제한 사용자명 이름을 검색할 수 있다고 생각했다.
그는 가설을 검증하기 위해 디어앤컴퍼니 계정 생성 API를 분석했다. 그 결과 사용자명을 검색하는 API를 연속 실행하는 스크립트 작성에 성공했다. 스크립트를 사용해 디어앤컴퍼니 게정을 소지하고 있을 가능성이 높은 기업 1,000개를 검색한 결과 2분 안에 1,000개사 중 192개사명이 사용자명으로 사용되고 있다는 결과를 얻을 수 있었다.
보통 계정 생성 시스템은 이런 무차별 검색을 막기 위한 구조를 도입한다. 하지만 디어앤컴퍼니는 이런 구조가 없다. 그 밖에 케니는 이런 문제에 대해 디어앤컴퍼니에 보고하려 했지만 취약점 보고 프로세스가 명확하지 않고 담당자와 여러 차례 얘기만 주고받게 됐다. 그는 회사 측에 보안 취약에 대해 알렸다.
카스퍼스키랩에 따르면 최근 개발된 농업 장비는 다양한 부분을 원격 조작할 수 있도록 만들어져 있다. 따라서 농업 기계와 시스템이 해킹되어 버리면 화학 비료 살포량을 보통보다 수백 배로 설정해 토양을 몇 년간 사용할 수 없게 하거나 원격 조작으로 전선을 절단하는 기기를 사용할 수 없게 해 수확 과정을 멈추게 하는 등 공격이 가능하다. 이런 공격은 농업 기계 소유자에게 손해를 줄 뿐 아니라 국가 규모 식량 위기로 이어질 우려도 있다고 경고하고 있다. 관련 내용은 이곳에서 확인할 수 있다.