해커 놀이터가 된 사물인터넷
지난달 초 미국 라스베이거스에서 열린 보안 콘퍼런스 블랙햇과 데프콘의 최대 화두는 단연 `사물인터넷(IoT) 해킹`이다. 사물인터넷은 모든 물건을 인터넷과 연결해 필요한 정보를 수집하고 활용하는 개념이다. 스마트폰과는 비교도 안 될만큼 커다란 혁신을 불러올 것으로 기대된다.
빛이 있으면 어둠이 있는 법. 편리한 사물인터넷은 개인정보 유출과 시스템 오작동 같은 문제가 발생할 가능성이 커진다. 블랙햇에서는 홈 컨트롤러를 비롯해 가정용 IT기기를 손쉽게 해킹하는 모습이 시연됐다.
PC나 서버가 아닌 제품도 충분히 해킹 대상이 될 수 있음이 입증됐다. 엘리베이터처럼 사람 생명과 직결되는 분야라면 문제는 더 심각해진다. 기술발전뿐만 아니라 보안 규제와 대책 마련을 위한 논의가 필요한 이유다.
◇많이 연결될수록 해킹 범위도 넓어진다
사물인터넷의 한 영역인 `스마트홈`은 가전기기를 네트워크와 연결해 인간의 삶을 편리하게 해준다. 스마트폰 애플리케이션으로 현관문을 잠그거나 열고 조명을 켰다 끌 수도 있다. 도입 가능 분야는 무궁무진하다. 문제는 사물인터넷이 확산되는 속도 못지않게, 혹은 더 빨리 해킹 기술도 발전한다는 사실이다.
보안업체 트러스트웨이브 다니엘 크로울리 컨설턴트는 AFP와 인터뷰에서 “스마트홈에 대한 관심이 커지고 기술이 발전할수록 보안 우려도 덩달아 커진다”며 “인터넷과 연결되는 사물이 많아지면 그만큼 해커가 공격할 수 있는 범위도 넓어지기 때문”이라고 말했다.
스마트TV를 해킹하면 개인의 생활 모습을 고스란히 감시할 수 있다. TV에 설치된 카메라를 원격으로 조작한다. 자동화된 스마트 화장실을 해킹하면 변기나 샤워기에서 갑자기 물이 나오게 하는 일도 가능하다. 보안 카메라(CCTV)나 전자도어락 해킹은 외부인 침입에 집을 무방비 상태로 만든다.
스마트홈에서 충분히 발생할 수 있는 일이다. 사물인터넷 해킹 위험은 무한하다. 인터넷이 연결되는 모든 분야는 곧 해킹이 가능하다. 지난 7월 포스브는 자동차도 해커의 조작에 따라 속도나 방향을 조정할 수 있다고 보도했다. 의료기기가 해킹되면 환자의 목숨을 보장할 수 없다. 보안업체 룩아웃은 당뇨병 환자에 인슐린을 주입하는 인슐린 펌프도 해킹에 취약하다고 경고했다.
◇사물인터넷, 왜 보안에 취약한가
시스코는 세계 사물인터넷 기기가 지난해 87억개에서 2020년 500억개로 약 6배 늘어날 것으로 전망했다. 해커의 먹잇감도 6배 증가하는 셈이다.
사물인터넷이 기존 인터넷 환경보다 해킹에 노출된 가장 큰 이유는 무선인터넷의 구조적 취약성 때문이다. 유선인터넷과 달리 무선인터넷은 어디서 데이터가 유출되고 해킹 공격이 시도되는지 파악하기 어렵다. 통신비용을 낮추기 위해 저비용 무선통신과 모뎀을 사용하면 위험은 더 커진다.
관리의 어려움은 보안 취약성을 배가시킨다. 예를 들어 공장이나 건물, 교각, 전봇대 등에 센서를 설치해두고 전혀 관리를 하지 않는 경우가 대부분이기 때문이다. 해커가 오랜 기간 악의적 목적으로 장비를 악용하더라도 발견이 늦어질 수밖에 없다.
일부 기기는 관리자용으로 ID나 비밀번호를 생성하지만 대부분이 특별한 인증 수단을 사용하지 않는 것도 문제점이다. MIT테크놀로지리뷰에 따르면 가정용 사물인터넷 장비의 경우 ID와 패스워드가 없는 게 많고 있더라도 인증절차를 우회하기가 손쉬운 것으로 조사됐다.
요히 코노 워싱턴대학 교수는 “사물인터넷 해킹이 얼마나 큰 문제인지 정확히 파악하기는 사실상 어렵다”며 “자동차와 의료 장비, 장난감이 실제로 해킹에 취약한 게 확인됐기 때문에 취약성이 무엇이고 왜 취약한지를 정확히 파악해야 한다”고 강조했다.
◇표준 보안기술과 가이드라인 마련 시급
사물인터넷 관련 명확한 보안 표준과 규제는 아직 없다. 적용 분야별로 기능과 애플리케이션, 인터페이스가 다르고 네트워크 환경도 다양해 기술 개발과 표준화가 쉽지 않다. 사물인터넷 보안은 프로토콜과 네트워크 보안, 정보보호와 사생활 보호, 시스템 장애 방지, 계정관리 등 광범위한 분야를 아우른다.
지난해 발족한 국제 사물인터넷 표준화 단체인 `원M2M`에서도 지난 4월에서야 보안 분과를 구성하고 표준 만들기에 나섰다. 현재까지는 `장비 무결성을 보장하라`와 같이 원론적인 가이드라인만 나온 상태다.
일각에서는 사물인터넷이 아직 확산 전인데 보안 이슈가 불거지면 산업의 발목 성장을 저해할 수 있다고 우려한다. 핵심 데이터 분야에 사용되는 경우는 많지 않기 때문에 아직은 보안 위험이 크지 않다는 의견도 나온다. 하지만 사물인터넷 파급력을 감안하면 미리 준비를 해야만 피해를 최소화할 수 있다는 게 전문가의 중론이다.
기존 보안 솔루션이 전통적 인터넷 환경에만 최적화돼 있어 사물인터넷에 쓸 수 없는 경우가 대부분이다. 보안 업체들이 더 많은 무선 인터넷 환경에 사용할 수 있는 제품을 개발하도록 보안산업 전체의 패러다임이 바뀌어야 한다. 정부의 규제와 가이드라인 마련도 시급하다.
국내 한 사물인터넷 보안 전문업체 관계자는 “시장이 성장하면 기존 보안업체들도 자연스럽게 제품 개발에 투자를 하겠지만 이에 앞서 가이드라인과 표준 지침이 개발돼야 한다”고 말했다. 그는 사물인터넷 사용 기업은 어떤 보안 위협에 노출돼 있는지 구체적 현황파악에 나서야 한다고 강조했다.
안호천기자 hcan@etnews.com
