[테크M = 김학용 순천향대 IoT보안연구센터 교수] 통계 포털인 스태티스타(statista)에 따르면 2017년 말까지 인터넷에연결된 디바이스(이하 기기) 개수는 200억 개가 넘었으며, 이로부터 3년 뒤인 2020년에는 300억 개를 돌파할 것이라고 한다. 최근에 출시되는 가전제품 대부분과 IT기기들이 연결 기능(connectivity)을 기본으로 제공하고 있으며, 가구나 자전거 같은 비(非)IT 장치도 다양한 방식으로 인터넷에 연결되고 있기 때문이다.

예를 들면 제품에 부착된 근거리무선통신(RFID) 태그나 QR코드는 아주 간단한 방식으로 사물들을 인터넷에 연결하고 있다. 인공지능 기반의 이미지 인식 기술은 전혀 연결 특성이 없는 사물들도 간편하게 인터넷에 연결시킬 수 있다. 또 최근에 본격적으로 보급되고 있는 음성인식 스피커도 사람 목소리를 이용해 간접적으로 사람을 인터넷에 연결하기도 한다.

이러한 변화에 대응할 수 있게 다양한 무선통신 기술도 새롭게 개발되거나 이용되고 있다. 좁은 대역폭(NB) 사물인터넷(IoT)이나 중장거리무선망기술(LoRa) 기반의 저전력 광대역 통신기술(LPWA)을 이용한 IoT 전국망이 이미 구축을 완료한 상태다. 다수의 IoT 기기를 수용할 수 있는 IEEE(전기전자기술자협회) 802.11ax 같은 근거리 무선통신기술이나 5G 이동통신 기술이 상용화를 앞두고 있다.

편리해진만큼 위험도 커진 IoT

어떤 사물이 인터넷에 연결된다는 것은 단순히 원격에서 상태를 확인하거나 제어하는 것을 넘어 가능성을 제시한다. 기존에는 전혀 상관도 없던 것들이 인터넷을 통해 서로 연결됨으로써 이들 사이에 새로운 관계가 만들어진다. 또 이를 바탕으로 우리가 사는 물리적인 세상을 디지털로 이해할 수 있게 돕는다.

예로 TV를 보다가 잠에 들더라도 이제 걱정할 필요가 없다. 아무런 관련도 없던 침대가 인터넷으로 TV를 꺼주거나 방 조명을 제어할 것이기 때문이다. 뿐만 아니라 냉장고 문이 여닫히는 시간 정보를 바탕으로 야식 배달업체나 다이어트 기업에 관련 서비스를 제공할 수 있다. 결과적으로 연결에서 시작하는 새로운 관계는 기존 비즈니스 패러다임을 바꾸며 산업 간 융합을 촉진하고 결과적으로 산업 경계를 무너뜨릴 것이다.

이것이 바로 디지털 전환 또는 디지털 트랜스포메이션(digital transformation)이며, 디지털 전환이 사회 전반에 걸쳐 총체적으로 일어나는 것을 두고 우리는 4차산업혁명이라고 부른다. 그리고 이 시작점에 IoT가 있다는 사실에서 우리로 하여금 IoT에 주목하게 만든다.

세상에 존재하는 사물이 인터넷에 연결된다는 것은 그 사물이 컴퓨터화(computerized)한다는 것을 의미한다. 컴퓨터화한 사물은 가상세계에 자신의 디지털 쌍둥이(digital twin)를 만들려고 실시간 또는 주기적으로 자신과 관련된 정보를 전송한다. IoT 플랫폼은 디지털 쌍둥이 매개변수 값들을 바탕으로 물리세계에 존재하는 사물을 이해하고 다른 사물과의 관계를 만든다.

이러한 변화, 즉 기존에 단독으로 존재하던 사물이 컴퓨터화하고 인터넷에 연결되는 현상은 컴퓨터가 인터넷에 연결되면서 발생한 문제를 그대로 안고 간다. 즉 해킹에 따른 정보 유출이나 위변조, 이에 따른 사회경제적인 문제가 발생할 수 있다는 얘기다. 뿐만 아니라 인터넷에 연결된 사물이 전송하는 정보는 단순히 자기 상태와 관련된 것뿐 아니라 이 사물을 사용하는 사람과 관련된 내용까지 포함해 프라이버시 문제까지도 일으킬 수 있다.

특히 IoT는 기본적으로 가상세계와 현실세계를 연결하는 것이어서 가상세계가 해킹되면 그 여파가 다양한 형태로 현실세계에 나타날 수 있다. 만약 현관문에 설치한 스마트도어락이 해킹되거나 부엌에 있는 가스레인지나 겨울에 사용하는 전열기구가 해킹되면 어떻게 될까. 또 자율주행차나 드론이나 발전소나 전력전송망이 해킹된다면? 상상할 수 없는 일과 이에 따른 인명 피해, 경제적 손실, 사회 혼란이 발생할 수밖에 없다.

사람의 신체적 특징이나 의학정보를 알아내는 ‘인체 해킹’이 등장할 수 있다는 우려도 나온다. 최근에는 웨어러블 기기를 통해 심장 박동 수, 운동정보, 수면의 질, 체온과 같은 건강정보들을 수집한다. 이러한 정보가 유출된다면 한 사람의 건강상태가 어떤지 모두 알 수 있다. 지난해 미국식품의약품안전국(FDA)은 세인트주드 메디컬 회사에서 만드는 인체 삽입심장박동기가 해킹에 취약하다는 경고를 내놨다. 심장박동기를 조율하고 연결하는 홈모니터 송신기가 해킹될 경우 박동 수를 조절할 여지가 크다.

지난 2016년에는 중국 ICT업체 텐센트 산하 킨 보안연구소 연구진들이 테슬라 차량을 원격 해킹하는 영상을 공개하기도 했다. 이들은 운전자 의지와 무관하게 브레이크와 사이드미러를 작동시켰으며 급제동을 하는 모습도 보여줬다. 또 아무도 타지 않은 차량에서 문 장금장치를 해제하는가 하면 창문을 원격으로 조작했다.

인터넷과 달리 기기 이용 관점에서 보안 접근해야

중국 절강대 연구팀(USSLAB)은 지난해 음성명령을 사람 귀에는 들리지 않는 초음파로 변환해 재생시키는 ‘돌핀어택(DolphinAttack)’ 기술로 AI스피커 해킹에 성공했다. AI비서들은

음성인식 기술로 명령어를 인식하는데, 이 음성인식 기술을 뚫어내는 방식으로 해킹했다. 연구팀은 돌핀어택을 이용해 아마존 알렉사를 비롯해 애플 시리, 구글 어시스턴드, 삼성 S보이스, 코타나, 화웨이 등에 명령을 내리고 정상작동하는 것을 확인했다.

그럼에도 불구하고 기업 대부분은 이러한 IoT 보안 이슈에 대해 적절하게 대응하지 못하고 있거나 아무런 대응도 하지 않고 있다. 아직까지 IoT 초기다보니 경쟁자보다 먼저 제품을 출시하려고 의도적으로 보안 기능을 배제하는 경우도 있으며 충분한 컴퓨팅 파워나 배터리를 내장할 수 없는 소형 기기처럼 부득이하게 보안기능을 탑재하지 못하는 경우도 있다.

이런 현상은 IoT 보안에 대한 이해가 낮기 때문이다. 보안 기능을 탑재한 IoT 기기들은 대부분 전송하는 데이터를 암호화하며 전통적인 인터넷 보안 관점에서만 접근하고 있다. IoT 보안은 기존 인터넷 보안과 여러 가지 측면에서 다른 특성을 보임에도 말이다. 예를 들면 기존 인터넷이 주로 유선통신기술을 기반으로 하는 것과 달리 IoT는 주로 무선통신기술을 기반으로 한다. 따라서 기존에 거의 고려하지 않았던 배터리나 전력 공급 이슈와 전파 간섭에 따른 보안 이슈가 추가로 발생할 수 있다.

또 IoT 기기가 단순히 사람 또는 기계에 의해 생성된 데이터를 저장하거나 전송하는 데 그치지 않는다. 다양한 종류의 센서가 사물과 관련된 데이터를 직접 생성하며 인터넷으로 전송된 신호들이 사물의 물리적, 환경적 특성을 변화시키기도 한다. 즉 센서나 엑추에이터와 관련한 보안 이슈들이 새롭게 발생할 수 있다.

뿐만 아니라 인터넷에 연결된 사물들 사이에 관계를 만들어내는 과정에서도 다양한 형태의 보안 이슈가 발생할 수 있다. 목표로 하는 기기를 직접 해킹하는 대신 그 기기와 연결된 보안 특성이 낮은 다른 기기를 해킹할 수도 있기 때문이다. 또 특정한 기기에 과도한 접속을 시도해 인터넷 서비스 거부(Denial of Service)같은 문제를 일으킬 수도 있다.

IoT 기기는 컴퓨터나 스마트폰과는 다르게 기기 소유주뿐만 아니라 여러 사람들에 의해 이용될 수 있다는 점도 고려해야 한다. 또한, 기기를 통해 전달되는 서비스에 대해 다양한 방식으로 비용이 청구된다는 점도 중요하다. 이러한 문제들을 해결하기 위해서는 사용자 인증이 반드시 수반돼야 한다.

따라서 IoT 보안은 기존 인터넷 보안과 다르게 접근해야 한다. 단순히 기기에 대한 접근을 차단하고 데이터를 안전하게 관리하는 것을 넘어 기기 이용 관점에서도 관심을 기울여야 한다. 즉 데이터 생성에서 전달과 보관, 이용 전 과정에 걸쳐 종합적이고 일관된 방식으로 접근해야 한다.

보안정책을 어떻게 가져가야 하는가?

IoT와 관련된 보안 정책은 기존 인터넷 보안 정책을 기본으로 하되 다른 차원에서 접근해야 한다. 데이터 보안뿐 아니라 현실세계에서의 물리적인 안전도 함께 고려해야 한다. 그렇다고 해서 컴퓨팅 파워나 배터리가 제한된 IoT 기기에서 모든 IoT 보안 이슈에 대응하는 것은 현실적으로 불가능하다. 따라서 다음과 같은 다섯가지 방향성을 제시한다. ①명확한 목표 설정, ②보안과 안전을 동시에 생각, ③대응보다는 예방, ④확장 가능한 보안, ⑤계층적인 대응이다.

먼저 명확한 목표 설정은 모든 보안 이슈에 대응할 수 없다면 반드시 대응해야 하는 이슈를 선정하고 이에 맞는 조치를 취해야한다. 이때 보안 목표 설정 기준은 기기마다 달라질 수 있다. 어떤 기기에서는 서비스 연속성이 가장 중요할 수 있으며, 어떤 기기에서는 서비스 신뢰성이 가장 중요할 수 있다.

IoT는 현실세계와 가상세계가 밀접하게 연결되도록 하는 기술이다. 따라서 데이터 보안뿐만 아니라 물리 보안까지도 동시에 고려해야 한다. 가상세계에서는 보안 관점에서 그다지 중요하지 않은 것이 현실에서는 커다란 영향을 미치는 경우도 있기 때문이다. 이런 이유로 IoT 보안은 사고가 발생한 뒤 대응하기보다 발생하기 전에 대비하는 것이 바람직하다.

이를 위해서는 인터넷에 연결된 사물들, 즉 사물과 사람, 비즈니스 사이에 대한 상관관계 이해가 필수다. 만약 어떤 사물에 보안 사고가 발생했을 때 영향이 다른 사물에 어떤 영향을 미칠지를 미리 분석하고 대응해야 하기 때문이다.

그리고 IoT 보안 기술은 확장할 수 있어야 한다. 컴퓨터나 스마트폰 환경과 달리 IoT는 빈번하게 새로운 기기가 추가되기도 하고 기존에 사용하던 기기를 제거할 수 있다. 이로 인해 기기 특성이 바뀔 뿐만 아니라 IoT 서비스 환경이 바뀌기도 한다. 따라서 보안 정책도 IoT 시스템 환경 변화에 능동적이고 신속하게 대응할 수 있어야 한다.

 마지막으로 이 같은 조치가 계층별로 특성에 맞게 이뤄져야 한다. 즉 어떤 보안 이슈는 기기 계층에서 대응해야 하며, 다른 보안 이슈는 네트워크 계층이나 플랫폼 계층 또는 서비스 계층에서 대비해야 한다. IoT 기기의 성능과 특성을 감안할 때 개별 기기보다는 IoT 허브나 게이트웨이 보안 기능을 강화해야 한다. 게이트웨이 레벨이나 서비스 레벨에서 보안이 중요한 이유는 기기가 생성하는 데이터 패턴을 바탕으로 해 직간접적으로 해킹 시도 여부를 파악할 수 있기 때문이다.

기업과 개인은 어떻게 대응해야 하나?

IoT 보안 이슈에 대응하려고 다수의 보안 회사가 관련 기술을 개발하고 있다. 그러나 대부분이 인터넷 보안 관점에서 IoT를 바라보고 있다. 그렇지 않은 경우에도 단편적으로 경량 저전력 특성을 가지고 있는 단말에 맞는 암호화나 인증 기술을 개발하는 수준이다. 특히 문제가 되는 것은 서로 다른 브랜드나 프로토콜을 사용하는 제품 사이에서 발생하는 보안 이슈에 대해서 깊이 있게 고민하지 않고 있다는 사실이다.

가장 기본적인 IoT 보안은 IoT 기기 접근을 통제하는 데서 시작돼야 한다. 미라이(Mirai)처럼 지금까지 IoT 보안 사고 대부분이 동일한 비밀번호나 유추하기 쉬운 비밀번호를 사용하는 IP카메라나 PVR 장치, 와이파이 공유기를 중심으로 발생했다는 점을 명심해야 한다. 이런 측면에서 IoT 기기의 초기 사용자 비밀번호를 다르게 설정하거나 의무적으로 변경해야만 사용할 수 있도록 해야 한다.

실제로 국내에서도 작년 말 ‘IP카메라 종합대책’으로 IP카메라 초기 비밀번호를 단말기마다 다르게 설정하거나 이용자가 변경해야만 동작하는 기능을 탑재하도록 의무화하는 방안을 추진한바 있다. 대상이 되는 제품이 IP카메라로 한정돼 있으나 최근 미국 캘리포니아주가 관련 법안을 통과시킨 것처럼 모든 IoT 기기로 확대 적용해야 할 것이다.

서비스 사업자들도 모든 IoT 기기를 한 플랫폼에서 관리하고 통제하는 통합 서비스 플랫폼을 이용하기보다는(이것이 물리적이든 가상적이든) 기기별로 플랫폼을 운영하고, 서비스 단에서 연동시킬 수 있도록 해야 한다. 이러한 접근은 특정한 기기에서 발생한 보안 위험 전파를 차단할 뿐만 아니라 문제가 되는 기기를 제외한 상태에서 서비스가 운영될 수 있도록 보장하기 때문이다.

IoT 기기는 항상 인터넷에 연결돼 있기 때문에 언제라도 필요한 기능을 업데이트할 수 있다. 따라서 새 보안 이슈를 발견하고 이에 대한 해결책이 나오면 이를 신속하게 패치할 수 있는 시스템과 환경을 마련해야 한다.

예를 들면 모든 기기들이 일주일에 한 번씩 보안 패치 서버에 접속해서 관련 기능들을 업데이트하거나 보안 패치 시스템에서 강제로 모든 기기 펌웨어를 업데이트할 수있도록 해야 한다. 뿐만 아니라 기기나 서비스 분야별로 해당 분야에 대한 보안 정책 가이드라인을 개발할 필요가 있다.

공공정책과 법률이 기술 속도를 따라가지 못하는 것이 현실이다. 그렇다고 변하는 세상에 가만히 있을 수는 없다. IoT 보안 이슈는 우리 일상 생활과 밀접하게 연관돼 영향을 미치기 때문이다. 따라서 기업과 소비자들은 정책이나 법률이 만들어지기를 기다리기보다는 IoT 보안이라는 문제의 심각성을 깨닫고 자발적이고 선제적으로 대응하는 것이 필요하다.

[테크M = 김학용 순천향대 IoT보안연구센터 교수]