Photo Image

대형 식료품점과 병원, 제약회사 등에서 사용하는 산업용 냉장고도 보안이 취약한 것으로 밝혀졌다. 인터넷에 연결된 냉장고 온도제어 시스템 상당수가 초기 비밀번호를 바꾸지 않았다.

테크크런치, 엔가젯 등 미국 IT매체는 정보보안 커뮤니티 세이프티디텍티브(SafetyDetective) 연구 결과를 토대로 이 같이 보도했다. 세이프티디텍티브에 따르면 영국 원격제어 솔루션 전문업체 리소스데이터매니지먼트(RDM)가 제조한 온도제어 시스템 7419개가 인터넷 연결기기 검색엔진 쇼단(Shodan)에 노출됐다. 이들 중 상당수는 여러 냉장장치를 제어한다.

RDM 온도제어 시스템은 모두 암호화되지 않은 HTTP 프로토콜을 사용하고, 대대수가 기본 설정된 사용자 이름과 비밀번호를 그대로 방치한 상태였다. URL 주소만 알아내면 어떤 웹브라우저로든 접속해 제어권한을 탈취, 연결된 냉장고를 멈추거나 설정을 조작 가능하다. 유통 매장에 재고 손실 등 금전적 피해를 끼칠뿐 아니라 의약품은 환자 치료에도 지장을 초래할 수 있다.

Photo Image
한 영국 병원의 RDM 솔루션 기반 온도제어 시스템 화면. 세이프티디텍티브 사무직원이 구글 검색만으로 접속 가능했다. (출처=SafetyDetective)

지난해 국정감사에서 지적됐던 IP카메라 무단접속·불법촬영도 마찬가지로 제품 초기 비밀번호 미설정·미변경이 문제였다. 이에 지난해 말 과학기술정보통신부 등 관계부처가 'IP카메라 종합대책'을 내놓으며 국립전파연구원 단말장치 기술기준 고시 개정이 이뤄졌다. 이달부터 IP카메라, CCTV 등 영상기기 제조·판매·수입업체는 기기마다 초기 비밀번호를 다르게 설정하거나, 이용자가 비밀번호를 변경해야 동작하는 기능을 탑재해야 한다.

이러한 조치는 영상기기에 국한될 뿐, 다른 여러 사물인터넷(IoT) 기기에는 해당되지 않는다. 실리콘밸리가 위치한 미국 캘리포니아주는 2020년부터 IoT 보안 관련 법안(SB-327)을 시행한다. 모든 가전제품이 고유 비밀번호를 갖추고 공급돼야 하며, 사용자 최초 접속 시 새로운 인증 설정을 요구해야 한다는 내용을 포함한다. 우리나라도 한국인터넷진흥원(KISA)이 'IoT 보안 인증제'를 운영하지만, 자율신청제도라 신청기업이 많지 않은 상황이다.


이동근 KISA 침해사고분석단장은 “IoT 보안위협은 기능 이용 시 인터넷 연결을 필요로 하는 제품을 대상으로 한다. 아직 국내에서 냉장고 관련 IoT 보안 사고가 보고된 적은 없다”면서 “인터넷에 연결 가능한 모든 기기에 비밀번호를 설정하고 주기적으로 변경해줘야 한다. 보안 취약점은 계속 발견되므로 펌웨어 업데이트도 필수”라고 말했다.


팽동현기자 paing@etnews.com