스마트시티 핵심 기술은 보안

스마트시티는 도시 문제 해결과 시민들의 편의를 증진시킬 수 있다는 점에서 필연적으로 확산되고 있다. 하지만 가장 큰 문제로 거론 되는 것이 보안이다. 도시 전체가 사물인터넷(IoT) 기술로 연결되고 하나의 컴퓨터처럼 돌아가게 될 경우 해킹 위험 역시 증가할 것이라는 지적이다.

스마트시티 자체가 해킹을 당한 사례가 아직 공식적으로 알려져 있지는 않지만 스마트시티의 세부적인 서비스와 기술이 해킹을 당하는 사례는 늘고 있다. 

사회 인프라 겨냥한 위험 확산

2016년 10월 트위터, 넷플릭스, 뉴욕타임즈 등 전 세계 76개 사이트가 마비되거나 서비스가 지연되는 사건이 발생했다. 이는 인터넷 주소를 연결해주는 도메인네임서버(DNS) 제공업체 딘(Dyn)이 디도스(DDoS) 공격을 받았기 때문이었다.

그런데 전문가들의 분석결과 놀랍게도 공격 방식이 달랐다. 기존에는 PC 등을 이용해 디도스 공격을 했는데 딘을 겨냥한 공격은 미라이(Mirai) 악성코드에 감염된 IoT 기기들이 동원됐다. IP 카메라, 인터넷 공유기, 셋톱박스 등 우리가 흔히 볼 수 있는 IoT 기기들이 사이버공격 도구로 변한 것이다.

이 공격을 작게는 IoT 보안 문제로 생각할 수 있지만 IP 카메라, 인터넷 공유기 등이 스마트시티의 한 부분이라는 점에서 크게는 스마트시티 보안 문제로 볼 수 있다. 이와 유사한 사례는 많다. 한국인터넷진흥원(KISA)이 2017년 8월 공개한 ‘홈·가전 IoT 보안가이드’에 따르면 지난 수년 간 IoT 기기에 대한 보안 문제가 지적돼 왔다.

2013년 8월 미국 라스베이거스에서 스마트TV에 탑재된 카메라를 해킹해 사생활 영상을 유출하는 시연이 진행됐다. 2014년에는 보안업체 프루프포인트가 2013년말부터 2014년초까지 10만대 이상의 스마트TV, 스마트 냉장고 등 가정용 기기가 감염돼 75만건 이상의 스팸메일 발송에 악용됐다고 밝혔다. 그해 9월에는 블랙펄시큐리티가 로봇청소기를 해킹하는 시연을 하기도 했다. KISA는 인터넷에 연결되는 모든 것이 해킹 위험에 노출될 수 있다고 경고하고 있다.

거리에 있는 동영상 카메라나 스마트홈 해킹만이 문제가 아니다. 자율주행차와 교통시스템, 전력망 통신망 등 도시 인프라에 대한 공격 가능성도 있다. 자동차 해킹 가능성은 이미 수 년 전부터 알려져 왔다. 스마트키를 조작해 차의 문을 열거나 차량에 악성코드를 설치해 갑자기 운행을 멈추게 하는 것 등이 널리 알려져 있다.

앞으로 자율주행차가 확산되면 해킹 가능성이 더 높아질 것이다. 일부 전문가들은 도로에 각종 센서가 자율주행차 해킹 도구로 사용될 수 있다고 경고하고 있다. 한 보안 전문가는 “스마트도로와 자율주행차가 통신을 할 때 이를 방해해서 운행을 못하도록 하거나 잘못된 신호, 가령 빨간 불을 파란 불로 인식하는 정보를 차량으로 보낼 수 있다”고 설명했다.

전력망 등 사회 인프라를 마비시킬 수 있는 공격 가능성도 있다. 2010년 이란 핵시설을 마비시킨 것은 미국이나 이스라엘을 폭격이 아니라 스턱스넷이라는 악성코드였다. 그런데 이 악성코드는 발전소, 공항, 철도 등 기간망을 마비시킬 수 있는 것으로 알려져 논란이 됐다.

스마트시티는 스마트홈, 거리의 카메라, 교통시스템, 전력망 등이 모두 연결되는 개념이다. 어느 한쪽이 뚫리면 연쇄적으로 문제가 발생해 도시가 마비될 수 있다. 예를 들어 전력망 보안을 강화해도 CCTV 카메라를 통해 침투한 후 그와 연결된 다른 시스템을 거쳐 전력망도 공격할 가능성이 있다.

위협은 이미 우리 앞에 다가와 있다. 카스퍼스키랩코리아는 2018 평창동계올림픽을 앞두고 안전한 올림픽 개최를 위한 스마트시티 보안 구축 가이드를 선보였다. 평창동계올림픽 경기장 일대는 각종 ICT 기술이 적용된 작은 스마트시티 개념이었다.   

카스퍼스키랩코리아는 다양한 공격 가능성을 우려했다. 우선 입장권 구매, 예약, 좌석, 호텔, 이동 서비스 및 음식 주문 관련 온라인 서비스에 대한 사이버공격, 출입 인증 및 승인 시스템 관련 사이버공격 문제가 제기됐다. 이는 스마트시티로 보면 도시의 소비자 서비스의 마비, 건물 출입에 대한 공격으로 해석 가능하다. 또 이 회사는 공조기, 엘리베이터, 비상 조명, 신호등, 수처리 설비, 정화조, 모니터링용 드론 및 카메라에 대한 사이버 공격과 개최국의 전기, 상수도, 교통 등 인프라 공격도 우려했다.

부문별·기기별 치밀한 대응 필요

스마트시티 보안 문제를 해결하기 위해서는 치밀한 대응이 필요하다는 지적이다. 인텔은 자사의 스마트시티 기술을 소개하면서 보안 문제가 중요하다고 강조하고 있다. 인텔의 스마트시티 기술 소개 자료에 따르면 장치, 게이트웨이, 네트워크 및 클라우드 인프라 등 각 부문별 그리고 하드웨어 및 소프트웨어 계층별로 다중적인 보호가 필요하다. 또 스마트시티가 연결에 중점을 두고 있는 만큼 연결 부분의 보안에도 주의해야 한다는 것이다.

김학용 순천향대학교 IoT보안연구센터 교수는 스마트시티의 요소인 IoT 기기 보안을 강조하고 있다. 그는 “IoT 기기를 출시할 때 비밀번호를 설정하지 않거나 모두 같은 비밀번호를 설정하는 것과 같은 방식은 위험하다”며 “IoT 기기를 처음 사용할 때 비밀번호를 설정하도록 하거나 각각 기기별로 비밀번호를 다르게 설정하는 것만으로도 IoT 보안을 강화할 수 있을 것”이라고 설명했다.

KISA의 홈·가전 IoT 보안가이드도 IoT 기기의 개발부터 보안 방안을 강구해야 한다고 강조하고 있다. 기기 개발 시 취약점이 없도록 하는 시큐어코딩을 하고 IoT 기기 간 상호 인증의 도입, 데이터 전송 시 보호방안 마련 등이 필요하다는 것이다.

이와 함께 전문가들은 스마트시티가 실제로 구현될 경우 도시 전체의 보안 상황을 모니터링하고 신속히 대응할 수 있는 인력과 체계, 대응 시스템을 마련하는 것도 중요하다고 강조하고 있다. 

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제59호(2018년 3월) 기사입니다>