스마트한'사물', 위협도 크다

IoT 시대 보안 위협과 대응방안

작게는 쓰레기통에서 자율주행차까지, 스마트 홈에서 스마트 시티로 연결되는 길목에는 사물인터넷(IoT)이 있다. 앞으로의 미래는 사물(Things)이 인간의 도움 없이 인터넷으로 자동 연결되는 물리적인 상태, 사물인터넷(Internet of Things)으로 만들어지는 세계이다.

사물인터넷 시대 도래, 무엇이 문제인가

이처럼 사물인터넷은 사람들의 생활에 없어서는 안 될 기술이지만 해킹 등 보안에는 취약하다는 맹점을 가지고 있다. 일상에 꼭 필요한 기술인만큼 해킹되어 악용되었을 때의 피해는 상상을 초월한다. IoT 시스템의 데이터를 변조하면 기업의 매출 실적을 조작할 수도 있다. 스마트 시티 내부의 교통 신호등, 공기정화시스템, 상수도 데이터 등 조작을 통해 사회에 위협을 가할 수도 있기 때문이다.

최적의 사물인터넷 환경이 구축되기 위해서는 사물이 주변 환경과 원활한 통신이 이루어지도록 서비스 인터스페이스 기술, 센싱 기술, 유무선 통신과 네트워크 기술과 정보 유출을 예방할 수 있는 보안 기술 등이 복합되어 융합처리 되어야한다.

이 중 사물인터넷 관련 보안 기술의 중요성은 날이 갈수록 높아지고 있다. 최근에도 기승을 부리고 있는 랜섬웨어와 같은 악성 컴퓨터 바이러스 해킹 프로그램을 통한 공격은 물론 드론, 자율주행차, 집 안의 가전제품 등 다양한 사물을 통한 해킹 공격이 가능하기 때문이다.

특히 사물인터넷 기술을 사용하는 기기 중 대부분이 실생활과 밀접하게 연결되어 있는 초경량 소형 기기들이 많은데 이러한 작은 소형 기기들은 관리에 취약하고 해킹에 노출될 확률이 크기 때문에 보안 문제가 더욱 절실한 것으로 보인다.

지난 1월 경찰대 치안정책연구소는 ‘치안전망 2018’ 보고서를 통해 “실생활에 사용되는 각종 기기들이 인터넷과 연결되면서 개인적 보안 위협이 커지고 있다”고 진단하고 “특히 가정용 네트워크 카메라, 자동차, 의료기기 등에 해킹이 우려되는 상황”이라고 밝힌바 있다. 연구소의 보고와 같이 최근에는 집에 홈 IP 카메라를 설치했는데 해킹으로 인해 영상이 외부 서버에 올라가는 등 사생활 침해와 관련한 위협들이 늘고 있는 추세이다.

아마존의 인공지능(AI) 스피커 에코를 비롯한 AI 홈 디바이스 기기 등의 보안 취약점도 꾸준히 보고되고 있다. 지난해 구글과 아마존은 블루투스 보안 패치를 수정해 배포했다. 해커가 보안이 취약한 블루투스를 통해 해킹을 시도했기 때문이었다.

사물인터넷 보안 위협, 어떻게 대응해야 할까 

사물인터넷을 공격하는 방식은 크게 세 가지 유형으로 나뉜다. 보안기업 ST마이크로일렉트로닉스의 곽재현 부장은 13일 서울 코엑스에서 열린 ‘AI/블록체인 융합 IoT 비즈니스 개발 컨퍼런스’에서 해커들의 공격 유형을 분석해 공유했다.

첫 번째는 소프트웨어를 통해 침투하는 방식이다. 두 번째는 물리적인 연결을 통해 보드 자체를 공격하는 경우이다. 해커들은 내부의 동작이 어떻게 동작하는지를 먼저 분석하고 내부 시스템에 침투해 해킹을 시도한다. 세 번째는 칩 내부를 공격하는 경우이다. 공격자들은 칩의 회로를 분석하고 흐름을 파악한 후 칩의 취약점을 외부에 노출한 후 공격을 한다.

이렇게 공격이 시작된 후 사후에 문제를 해결하기 위해서는 많은 시간과 비용이 든다. 사전 보안 대책이 중요한 이유이다. 곽재현 ST마이크로 일렉트로닉스 부장도 보안으로 인한 사후처리비용이 사전 예방 비용보다 더 높다는 점을 강조했다. 무엇보다 사전 예방 대책이 중요한 이유는 중요한 데이터 손실과 개인 정보 유출 등 값으로 따지기 어려운 손실이 발생하기 때문이다.

이에 따라 지능화되고 있는 사이버 위협에 대해서 기업들은 사전보안플랫폼 대책 마련에 힘쓰고 보안 기업들은 머신러닝 기술을 포함시키는 사이버 보안전략을 강화해야한다. 개인은 데이터 유출에 대비해 사전 데이터 백업과 소프트웨어 백신 업그레이드 등의 지속적인 관리와 정부 인증을 받은 제품을 구매해 설치하는 것이 필요하다.

정부는 최근 사물인터넷 관련 보안 위협이 심각하다고 판단하고 이에 빠르게 대처하고 있다. 과학기술정보통신부는 지난해 사물인터넷 보안 인증제를 실시한다고 밝힌데 이어 12월에는 IP카메라 종합대책을 발표했다. 이에 따라 사물인터넷 기기 회사들은 제품을 출시하기 전 일정 수준의 보안 기능을 갖춰야 인증서가 발급된다. 앞으로 출시하는 사물인터넷 기기들은 최소한의 보안기능이 장착될 것으로 기대되고 있다.

정부의 대책이나 앞으로의 정책도 중요하지만 사물인터넷 보안 위협에 대해서는 일반 대중들과 사이버 보안 이슈를 담당하는 임직원들의 인식 변화도 중요하다. 전문가들은 “사물인터넷 보안의 중요성을 인식하고 사물인터넷 기기를 운용하는 임직원들에 대한 철저한 기기보안 설정 교육이 시행되어야한다”고 강조했다.