임베디드 소프트웨어(SW)가 탑재된 기기에 보안 위협이 몰려오고 있다.
일본에서 최근 인터넷 접속기능이 있는 DVD리코더가 해킹을 위한 경유지로 악용되는 사례가 등장하면서 임베디드 SW가 탑재된 제품에도 보안 위협이 현실로 다가오고 있다. 특히 가전제품과 자동차·의료기기 등 임베디드 SW가 탑재된 기기에 나타나는 보안 문제는 재산은 물론이고 생명을 위협할 수 있는 치명적인 원인이 될 수 있어 심각성을 더하고 있다.
◇임베디드 SW 보안 위협 현실화=최근 출시되는 가전제품뿐만 아니라 자동차·게임기 등은 CPU와 임베디드 SW가 탑재되고 인터넷에 접속할 수 있게 개발됐지만 정보보호를 고려하는 점에서 미흡한 상황이다. PC에서 나타날 수 있는 각종 보안 위협이 그대로 임베디드 SW가 탑재된 제품에 나타나고 있어 제조기업이 개발 초기부터 임베디드 SW의 보안 취약성을 최소화해야 한다는 주장이 설득력을 얻고 있다.
일본에서는 인터넷 접속기능이 있는 DVD리코더가 알 수 없는 프록시(anonymous proxy)로 동작하는 보안 취약성이 발견됐다. 해커는 이 취약성을 악용해 특정 인터넷 게시판에 대량의 글을 올리는 공격을 감행했다. DVD리코더가 해킹을 위한 경유지로 악용된 것.
한낱 게임기로만 알고 있는 닌텐도DS도 보안이 취약한 PC를 원격으로 조종할 수 있는 해킹 단말기 역할이 가능한 것으로 드러났다. 무선랜 기능이 있는 닌텐도DS에 리눅스 운용체계가 탑재돼 있는데 해커는 닌텐도DS의 하드디스크를 나눠 또 다른 OS를 실행시킬 수 있다. 게임기를 울트라모바일PC처럼 둔갑시켜 해킹 도구로 악용한다. 소니PSP와 닌텐도DS를 공격하는 악성코드도 나타나 사용자를 괴롭히고 있다.
글로벌 보안 업체인 F시큐어에 따르면 대표적인 임베디드 SW기기인 휴대폰에 나타난 바이러스는 2004년 6월 이후 현재까지 150여개였으며 세계적으로 수십만건의 감염사례가 보고되고 있다. 박현주 엠큐릭스 사장은 “우리나라에 3G통신 가입자가 늘어나면서 유럽 GSM과 같이 휴대폰 바이러스 위협이 몰려오고 있다”며 “임베디드 SW 보안이 시급하다”고 말했다.
◇임베디드 SW 무엇이 다른가=임베디드 SW가 탑재된 기기는 메모리 용량과 CPU 성능 등으로 인해 보안 패치를 적용하는 데 시스템 자원의 제약이 있다. 이 때문에 기존 정보보호 기법이나 기술을 각 기기에 맞춰 경량화해야 한다. 또 PC는 정기적이거나 필요하면 보안 경고를 표시하고 자동으로 패치를 할 수 있는 데 비해 가전기기나 자동차는 보안 패치 설치 자동화가 어렵다. 여기에 PC와 달리 소비자나 개발사 모두 정보보호 의식 수준이 매우 낮은 것도 문제다.
◇대책 마련 시급하다=보안 전문가들은 우선적으로 임베디드 기기 제조기업이 임베디드 SW의 보안 취약성을 최소화하려는 노력과 관심이 절실하다고 입을 모았다. 기기별로 정보보호 체크리스트를 만들고 지침에 따라 임베디드 SW가 개발될 수 있도록 개발자 대상으로 교육도 강화돼야 한다.
개발 단계에서 적절한 보안 점검으로 SW결함을 사전에 조치할 수 있도록 해야 한다는 것이다. 또 정보보호 관련 결함의 발생 가능성이나 해결방법 등 안내를 위한 상담 창구 직원 교육도 필요하다. 임종인 고려대 정보보호기술연구센터 교수는 “SW보안 결함에 관한 문제는 제조물책임법의 범주 안에서 봐야 한다”며 “법 개정 등 적절한 사회적 기반 조성이 필요하다”고 말했다.
김인순기자@전자신문, insoon@
관련 통계자료 다운로드 기존 SW 보안과 임베디드 SW 보안의 차이