사물인터넷(IoT) 장치 증가와 5세대 이동통신(5G) 도입으로 일상생활 속 IoT 해킹 위협이 높아지는 가운데 가장 기본적인 패스워드 변경이 중요하다는 지적이 나왔다. 대다수 사용자들이 IP카메라나 무선공유기에 비밀번호를 설정조차 해놓지 않아 손쉽게 해킹될 수 있는 환경을 만들고 있기 때문이다.

금융권 암호설정에 준하도록 10자리가 넘는 암호에 숫자와 대소문자, 특수기호를 포함시키고, 각 IoT 기기별로 서로 다른 패스워드를 설정한다면 70~80% 보안위협을 막을수 있다는 전망이다.

30일 SK인포섹은 서울 중구 페럼타워 세미나실에서 ‘EQST 미디어 간담회’를 개최하고 사물인터넷(IoT) 해킹과 사생활 침해 문제에 대한 발표와 해킹 시연을 선보였다.

발표를 맡은 김태형 SK인포섹 EQST랩(lab)장은 “IoT 해킹에 대해 2010년 초반부터 해커들이 관심을 가지며 해킹 가능성이 높아지고 있는데, 보안인식은 너무 낮다”면서 “업계 전문가인 저조차도 집을 둘러보니 전등 센서와 같은 수많은 장비가 있는데도 비밀번호를 바꾸지 않고 있었다”고 밝혔다.

한국인터넷진흥원(KISA)에 따르면 IoT 해킹과 관련한 신고 건수가 2012년에는 한 건도 없었지만 2018년에는 387건으로 빠르게 증가하고 있다. KISA에서 진행한 정보보호 실태 설문조사에서도 IoT 보안에서 대해 묻는 질문에 54.9%가 개인정보 침해 위협 증가를 우려했다. 뒤이어 사이버공격과 가능성 증대(44.8%), 대규모 피해 확산 위협(10.7%) 등을 꼽았다.

실제 지난해에는 IoT기기를 감염시켜 디도스(DDos)공격을 감행하는 ‘사토리봇넷’ 악성코드가 기승을 부리기도 했다.

IoT 해킹 사례를 개별적으로 살펴보면 도어락 해킹, 반려동물용 IP카메라 해킹, 베이비모니터 해킹 등이 있다.

도어락 해킹은 문을 열 때 발생하는 도어락 신호를 해커가 복제해 훔치고, 집에 사람이 없을 때 신호를 보내 문을 여는 수법을 활용한다. 신호를 알아내기 위해 해커는 아파트 공용 IP에 접속해 상주하면서 신호가 발생할 때까지 잠복해 있는다.

반려동물 IP카메라는 해커가 반려동물 사이트를 해킹한 뒤 데이터베이스를 확인하고, 가입한 사람의 개인정보(IP정보)를 획득한다. 이후 IP카메라에 접속해 내부를 확인하는 방식을 사용한다.

베이비모니터는 지난해 6월 미국에서 나타난 사례다. 미국은 자녀를 따로 재우기 때문에 아기를 볼 수 있게 IP카메라를 설치하는데, 엄마가 자녀 모유수유를 하는데 카메라에 아무런 명령이 없는데도 수유장면을 찍은 사실을 포착하면서 해킹 사실이 드러났다.

불법으로 해킹된 IP카메라 영상을 실시간으로 공유하는 외국 사이트도 있다. 러시아를 기반으로 한 웹사이트 ‘인세캠’에서는 국가별로 해킹된 IP카메라(CCTV) 영상을 실시간으로 공개한다. SK인포섹이 직접 해당 사이트에 접속해 한국을 클릭하자 수영장, 강의실, 식당과 같은 일상생활 속 공공장소 CCTV 영상을 실제로 확인할 수 있었다.

개인정보유출 피해를 넘어서 공공인프라에 대한 공격도 우려된다고 SK인포섹 측은 지적했다.

이재우 SK인포섹 EQST 전략사업본부 그룹장은 “5G 기반으로 인프라가 깔리면 스마트빌딩, 스마트병원, 스마트팩토리 같이 기간 시설들이 모두 센서로 연결되고, 해커들이 센서를 공격할 가능성이 커진다”면서 “실제 외국에서는 해커가 호텔 스마트도어락을 해킹해 호텔 투숙객 전체를 객실에 감금한 사건이 발생하는 등 테러 우려가 커지고 있다”고 분석했다.

다만 SK인포섹은 IoT 해킹이 기존보다 고도화되거나 복잡한 수법이 아니라, 기존에 있던 PC해킹을 그대로 적용한 것이라고 SK인포섹 측은 설명했다.

김태형 SK인포섹 EQST 랩(lab)장은 “취약한 IoT기기 정보를 수집하고, 이 정보에 대해 악성코드 감염시키고, 해커가 기기를 조작하는 방식”이라며 “이런 공격은 IoT만을 위한 특화기법도 아니고, 기존 PC를 대상으로 악성코드를 감염시키는 방식과 똑같은 것”이라고 설명했다.

IoT 해킹에 대비하려면 가장 기본적인 비밀번호 설정, IoT 기기에 대한 정기적인 펌웨어 업그레이드 같이 기초적인 보안 강화활동을 반드시 해야 한다.

김태형 랩장은 “일반적으로 여러 기기를 사용하면 비밀번호를 하나로 통합해 사용하는데, IoT 제품별로 서로 다른 안전한 비밀번호 설정이 필요하다”면서 “금융권 비밀번호 설정에 준하도록 10자리 이상, 대소문자 구분, 특수기호 사용을 반드시 하고, 주기적으로 비밀번호를 바꿔야 한다”고 지적했다.

그는 또 “웹캠과 AP기기에 대한 정기적인 펌웨어 업데이트는 필수며, 기업에서는 KISA에서 진행하는 IoT 제품 보안인증서비스를 반드시 받아 최소한의 보안성 확보에 힘써야 한다”면서 “이런 기초적인 보안활동만으로도  IoT 보안위협을 70~80% 예방할 수 있다”고 말했다.

한편 SK인포섹은 IoT 위협에 대비하기 위해 기업들을 대상으로 IoT 보안 컨설팅, 모의 해킹, 보안 솔루션, 시큐디움 IoT플랫폼, Dsaas서비스 등 5개 분야에 대한 솔루션을 상반기 중으로 제공할 계획이다.

[테크M=김태환 기자(kimthin@techm.kr)]