해킹 위험 커지는 IoT, 철통 보안시스템 갖춰야

중앙선데이

입력

PC·TV는 물론 냉장고·장난감이 네트워크로 연결되고 센서를 통해 수집된 데이터가 클라우드를 통해 모인다. 빅데이터 분석으로 얻어진 콘텐트는 새로운 서비스로 변신해 모바일로 제공된다. 바야흐로 네트워크 ‘연결시대(The Era of Connection)’다. 환호하긴 이르다. 원터치로 모든 것이 가능해지면서 해커들의 개입 경로는 더 넓어지고 고도화됐다. 이들을 막으려는 기업의 보안 수준이 진보하는 만큼 해커들도 진화한다. 창과 방패의 싸움이다.

정보통신기술 발달로 인간의 삶이 풍족해지고 있다. 사물인터넷(IoT) 제품과 서비스는 우리의 바쁜 일상에 시간·공간적 여유를 선물해 줄 대안으로 떠올랐다. 냉장고 스크린에서 요리법을 검색해 산지 직송 재료를 주문하고 작은 웨어러블 기기로 심박수, 운동량을 측정·관리한다. 보일러 스스로 집의 냉난방을 조절하고 첨단 기기가 내장된 ‘스마트 거울’은 내 피부 상태까지 점검하고 조언해 준다. 현재 한국에서 판매 중이거나 곧 판매될 제품들의 이야기다.

본격적인 사물인터넷 시대다. 미국의 시장조사기관 IDC는 2020년까지 사물인터넷 기기가 300억 대에 이르고 시장 규모는 2000조원에 달할 것으로 전망했다.

2020년 세계 IoT 시장 2000조원 연결시대를 이끌 제품·서비스가 다양해질수록 보안에 대한 우려도 크다. 김승주 고려대 정보보호대학원 교수는 “우리가 더 많은 것(thing)을 연결할수록 더 많은 피해를 주고 통제하려는 해커들이 생길 것”이라고 경고한다. 일정 수 이상의 기기가 모이고 해킹했을 때 이익이 구체화되면 악의적인 목적을 지닌 개인이나 집단이 본격적으로 움직일 것이라는 이야기다. 그는 “보안의 심각성을 깨달았을 땐 이미 늦다. PC시대와는 차원이 달라 소프트웨어 업데이트로는 해결이 불가능하다. 냉장고가 해킹당한다고 그때마다 새로 살 수 없지 않겠는가”라고 말했다.

?구체적으로 어떤 피해를 예상할 수 있을까. 보안전문기업 SK인포섹 R&D센터 장우진 팀장은 연결시대의 대표 주자 가운데 소비자가 가장 주목해야 할 부분으로 사물인터넷을 꼽는다. 클라우드는 주로 B2B 솔루션이므로 소비자들이 직접 대면하는 일이 거의 없다. 빅데이터와 모바일은 개인정보 탈취, 데이터를 잠근 후 돈을 요구하는 사례들이 극성을 부릴 것으로 예상된다. 장 팀장은 “사물인터넷의 해킹은 개인정보 노출이 문제되는 데다 물리적 재앙으로까지 이어질 수 있다”고 말한다. 예컨대 달리는 차량의 운전대를 꺾고 급제동을 걸어 생명을 위협하거나 보일러를 제어해 딸기 농사를 망치는 식이다. 무선통신 구간 내 제어 정보 등을 위조 또는 변조해 다른 명령을 보내면 얼마든지 기기의 오작동을 일으킬 수 있다.

?사물인터넷은 우리가 상상하는 이상의 막강한 위력을 지닌다. 김승주 교수는 “TV가 해킹되면 집안이 노출되는 부끄러움에서 끝나지 않는다. 해커가 TV방송 내용까지 바꿀 수 있다”고 말한다. 속보로 부산에서 지진이 발생했다고 띄우고 주식이 요동치게 할 수도 있다는 것이다. 진실과 거짓의 구분이 불가능하게 되면 개인 신변 위협은 물론 테러집단에 악용될 수 있다.

스마트 기기, 서비스 오작동에 노출 이런 보안 위협에 대해 세계 각국은 발 빠르게 대응하고 있다. 미국은 소방차·앰뷸런스를 포함한 관용차들이 통신수단을 통해 점점 더 ‘연결’되는 것을 우려해 단계별 보안 기준을 포함한 10년짜리 기준개발 로드맵을 시행 중이다. 일본은 IPA(정보처리 추진기구)를 통해 스마트TV 등 가전업체에 보안 툴과 가이드를 제공하고 주의를 당부했다.

우리나라의 경우 미래창조과학부는 2014년 10월 ‘IoT 정보보호 로드맵’을 수립하고 지난해 ‘일곱 가지 IoT 공통보안원칙’을 제시했다. 제품·서비스 설계 단계부터 보안 부분을 포함하고 침해 사고 때 대응체계 및 추적을 강화한다는 것이 주요 내용이다.

한국인터넷진흥원은 지난해 10월부터 IoT 혁신센터를 통해 보안 테스트베드를 무료 운영해 사물인터넷 기기 제조 중소기업체들이 보안 취약점을 점검할 수 있도록 했다. 삼성·LG 등 대기업들도 설계 및 개발 단계부터 보안 강화를 위한 프로세스를 적용하고 있다. 갈 길은 멀다. 사물인터넷은 시작과 끝을 명확히 정의할 수 없을 정도로 광범위한 제품과 서비스를 포괄한다. 연결되는 범위가 넓어진 만큼 개입되는 업체도 많아지고 해커 침입 경로도 넓어졌다. SK인포섹 장 팀장은 “그동안 주로 ‘보안 담당자’ 역할을 했던 IT 보안업체, 제조사와 서비스 제공자까지 책임의 영역이 확대될 수 있다”고 내다봤다. 그는 이어 “연결시대에 100% 보안은 불가능하다. 제조사·보안업체·서비스업체 등이 모두 효율적으로 따를 수 있는 보안 기준이 필요하다”고 주문했다.

김 교수는 “정부가 사물인터넷 전체 생태계를 관리할 장기 시스템을 빨리 마련해야 한다. 우리가 전 세계 시장 주도권을 잡고 있는 산업을 중심으로 사물인터넷 보안 기준을 마련하면 저절로 산업 전체가 따르게 될 것”이라고 강조했다.

기업 입장에선 보안을 강화하려면 추가로 비용이 발생한다. 자신을 보호하기 위해 기꺼이 추가 비용을 지불하겠다는 소비자의 의식 전환이 필요한 이유다. 보안이 허술한 100원짜리 제품보다 보안이 강화된 110원짜리 제품을 구별해 살 수 있는 눈을 키워야 한다.

보안에 대한 엄격한 규제만이 능사는 아니라는 의견도 있다. 지나친 감시는 오히려 산업 발전을 저해할 수 있다는 것. 연충규 법무법인 충정 대표변리사는 “다양한 경로로 수집되는 빅데이터 내 개인정보를 보호해야 하지만 기업이 데이터 내 필요한 정보를 분석해 사용하는 것을 지나치게 제한하면 다양한 서비스 창출이 어렵다”며 “보안과 서비스 진흥 간 균형에도 주의를 기울여야 한다”고 주문했다.

◆연결시대(The Era of Connection)=다양한 기기들이 네트워크로 긴밀하게 연결된 사회. 스마트 카·스마트홈 같은 사물인터넷(IoT·Internet of Things) 기기와 여기에서 얻어진 방대한 양의 빅데이터(Big Data), 이를 저장할 가상 공간인 클라우드(Cloud)를 포함한 I.C.B.M(IoT, Cloud, Big Data, Mobile)이 연결시대를 구현하는 주요 구성 요소다.

지난 5년간 미국에서 발생한?기기별 주요 해킹 사례

PC·웹캠 2013년 미국의 한 남자 대학생이 미인대회(Miss Teen USA) 출신 고교 동창 여학생의 웹캠을 해킹해 누드 사진을 캡처해 협박했다. 그는 블랙섀이드 RAT?(Blackshades Remote Access Tool)라는 소프트웨어를 이용해 컴퓨터에 잠입해 웹캠을 실행, 그녀의 방을 몰래 훔쳐봤다.