“집이 해킹을 당한다?” 우리에게 익숙한 헐리우드 영화 속 악한들의 국가 기반시설 해킹으로 인한 전력 중단, 교통시스템 혼란, 인터넷 마비 등의 행태는 이미 현실이다. 사물인터넷(IoT) 홈 가전제품을 포함한 IoT 기기의 확산으로 이러한 가능성은 더욱 높아지고 있다.

아직 국내에서 IoT 해킹은 공식적으로 보고된 바 없지만 지난 10월 미국 전역을 강타했던 인터넷 분산서비스거부(DDoS) 사건은 공격의 제물로 보안카메라, DVR, 가정용 라우터가 주류였다고 밝혀짐으로써 IoT 시대 보안의 중요성을 다시금 일깨우며 우리에게 경을 울리고 있다.

IoT는 해킹 노출 요인 내재

집안의 모든 기기들을 하나로 통합해 인간의 삶을 편리하도록 하는 스마트홈의 기술적 기반은 IoT 개념이다. 성능과 기능에서 차이는 있지만 노트북이나 모바일폰과 같은 컴퓨팅 기능, 유·무선 네트워크 통신기능, 스마트홈 서비스를 위한 개인정보와 각종 서비스 정보의 수집과 저장 기능 등은 편리하고 유용한 IoT 홈 가전 기기를 가능하게 하는 기술 요소이다.

문제는 이러한 기술 요소들이 그대로 해킹에 노출될 수 있는 잠재적 요인을 내재하고 있다는 것이다. 현재까지 보고된 스마트홈 해킹 사례를 보면, 보안성 침해의 경로는 3가지 카테고리로 나뉜다.



첫 번째는 제품 제작과 유통과정에서 고의적으로 제품 내 악성코드가 심어지는 경우로, 2015년 보고된 중국산 무선 다리미와 전기포트 내에 악성코드 칩을 내장해 이 기기들을 통해 스팸발송, 악성코드 유포, 유사시 서버 공격의 가능성을 열어 놓았던 사례가 이에 해당한다. 이 경우 소비자 입장에서는 사전 인지가 어려워 제품에 대한 인증이나 심사 등 제도적 장치가 필요한 범주이다.

두 번째는 앞의 상황과 달리 의도적이지는 않지만 제품 개발단계에서 사용자나 기기에 대한 인증 기능, 펌웨어 조작 감지 기능, 데이터 암호화 등과 같은 제품 보안성 내재화가 미흡한 상태로 시장에 출시되는 경우이다.

누구나 데이터 네트워크 이용을 위해 와이파이(WiFi) 접속을 해 본 경험이 있을 것이다. IoT 홈 가전 보안위협의 첫 관문으로 이 원리가 그대로 이용될 수 있다. 예를 들어 집에 있는 IoT 냉장고가 가정의 모든 가전기기들의 통신 컨트롤러 역할을 하도록 구성돼 있는 경우를 생각해보자. 누군가 의도적으로 냉장고에 접속을 시도할 수 있다.

이 때 냉장고에 사용자 아이디나 비밀번호가 설정돼 있지 않은 경우, 제품 출하 시의 초기값을 그대로 이용하고 있는 경우 또는 예측 가능한 아이디나 비밀번호를 사용하는 경우 등이 문제가 될 수 있다. 공격자는 IoT 냉장고에 쉽게 로그인을 해 악성코드를 삽입하거나 펌웨어 등을 위변조함으로써 집 안의 다른 기기들 도어록이나 가스누출감침기 등의 기능을 해제하거나 오동작을 유발시키고, 컨트롤러인 냉장고 자체 기능을 마비시켜 피해를 증폭시킬 수도 있다.

또 제품 간에 네트워크를 통해 주고 받는 데이터가 암호화돼 있지 않은 경우 데이터를 가로채 사생활을 침해하거나 제어 데이터의 위변조로 기능을 오동작하게 하거나 데이터 유출로 인한 2, 3차 피해를 가져오게 한다.

>>>
홈 가전을 필두로 한 IoT 기기들의 빠른 확산을 고려하면,
고의성과 악의적 의도로 치밀한 계획과 기술적 장비들을 동원해
공공의 이익을 저해할 대대적인 공격이 구현되는 것은
우리 시대가 당면한 위험요소다.

세 번째는 IoT 홈 가전을 제물로 인터넷상에 물려 있는 다른 사이버 공간에 대한 해킹을 일삼는 경우이다. 침투와 위변조의 방법은 위 두 번째와 유사하지만 이 경우는 홈 가전 기기들을 신속하게 대량으로 제물화하기 위해 사람에 의한 개별적, 직접적 접속이 아닌 드론과 같은 또 다른 IoT 제품을 이용함으로써 침투의 물리적 거리 한계를 넘어 머신 대 머신으로 해킹을 수행함으로써 향후 그 피해의 범위와 대상 가늠조차 어렵다는 것이다.

혹자는 미래 전쟁의 무기는 ‘총이 아닌 보안’이라고 말한다. 홈 가전을 필두로 한 IoT 기기들의 빠른 확산을 고려하면, 고의성과 악의적 의도로 치밀한 계획과 기술적 장비들을 동원해 공공의 이익을 저해할 대대적인 공격이 구현되는 것은 우리 시대가 당면한 위험요소이다.

선 산업 활성화 후 규제로 보안을 잠시 뒤로 미뤄 두었던 세계 각국들도 이제는 민간 자율에 의한 제품 내 보안 내재화를 넘어 점진적으로 법 제도의 틀로 IoT 제품 서비스에 대한 보안을 고려하기 시작했다.

IoT 시대 보안은 개인정보의 유출이나 금융피해와 같은 금전적 손실을 넘어 국민의 직접적 생명 위협과 국가 기반시설에 대한 불능을 가져오는 공공 이익에 반하는 매우 중차대한 문제로 발전할 수밖에 없다. 기업의 입장에서도 제품 출시 일정이나 비용 부담의 요소로 보안을 바라보는 것이 아니라, 자사의 제품 품질요소로서의 경쟁력으로 보안을 인식해야 하는 시대가 바야흐로 IoT 시대인 것이다. 더 이상 미룰 수 없다. 이제부터 바로 시작할 일이다.

<본 기사는 테크M 제44호(2016년 12월) 기사입니다>