(4) IoT 시대의 그림자
인터넷 연결 모든 사물이 쉽게 해킹에 악용 가능
병원 의료장비 해킹땐 컴퓨터 바이러스가 환자 생명 위협할 수도
기기·네트워크·클라우드 아우르는 보안환경 구축을
[ 김보영 기자 ]
“사물인터넷(IoT)은 ‘판도라의 상자’를 열었다. 물리적인 세계에 인터넷이 녹아들어 발생하는 보안과 사생활 침해 위협은 간과할 수 없는 문제다.”
프랑스의 기업용 소프트웨어 회사 액스웨이의 크리스토프 파브르 최고경영자(CEO)의 말이다. IoT가 발전할수록 다양한 물건에 인터넷이 연결돼 삶이 편리해지지만, 보안 허점이 늘어나 개인정보 유출 위험이 급격히 높아진다는 것이다. IoT 상용화 시대가 오기 전 정부와 기업에서 보안 위협에 대한 논의를 충분히 진행하지 않으면 ‘해킹 대란’에 속수무책으로 당할 수밖에 없다는 우려의 목소리가 잇따르고 있다.
○2만원짜리 기판이 차 원격 제어
지난달 미국 보안업체 프루프포인트는 스마트TV와 냉장고를 해킹해 ‘좀비 가전’을 만든 뒤 악성 이메일을 75만건이나 발송한 사이버공격 사례를 공개했다. 스마트 가전 해킹이 공식적으로 보고된 첫 사례다. 작년 12월23일부터 지난달 6일까지 진행된 이 악성 메일 유포에는 스마트TV와 냉장고, 홈 네트워크 라우터 등 PC나 노트북이 아닌 스마트 가전이 활용됐다.
다음달 싱가포르에서 열리는 국제 보안 행사 ‘블랙햇 아시아 2014’에는 차를 마음대로 제어할 수 있는 20달러(약 2만2000원)짜리 회로 기판이 소개될 예정이다. 아이폰의 4분의 3 크기에 불과한 이 회로 기판을 자동차에 연결하면 해커가 원격에서 조종하는 대로 운전대가 움직이거나 브레이크가 걸린다. 헤드라이트를 마음대로 켰다 끄거나 창문을 내릴 수도 있다. 차량 안에서 중앙컴퓨터 없이 장치들이 서로 통신할 수 있도록 설계된 표준 규격인 제어영역네트워크(CAN·Controller Area Network)에 침투하는 원리다.
구태언 테크앤로 대표변호사는 “주변 사물이 내 일거수일투족을 감시하고 그 정보를 먼 거리에 있는 악의적 침입자가 수집하는 상황은 상상만 해도 끔찍하다”며 “영화 ‘마이너리티 리포트’나 ‘매트릭스’ ‘다이하드4’에 그려진 미래 세계처럼 IoT는 이용자들에게 편리함을 주는 반면 감시의 도구가 될 위험성이 높다”고 지적했다.
○IoT 악성코드 급속도로 늘어날 듯
이제 시작 단계인 IoT 보안 위협은 해가 다르게 급격히 증가할 전망이다. 다양한 기업에 의해 상용화가 진행되고 있고, 앞서 스마트폰 악성코드가 빠르게 확산된 전례가 있어서다.
안랩은 지난해 수집된 모바일 악성코드 수가 125만1585개로 2012년(26만2699개)에 비해 4.7배 증가했고, 2011년(8290개) 대비 151배 늘어났다고 밝혔다. 글로벌 보안업체 포티넷은 지난해 12월 자사 인터넷 보안 연구소 포티가드를 통해 당장 올해부터 안드로이드 기반 악성코드가 IoT 분야로 확장될 것으로 전망했다.
인터넷이 사물을 넘어 생체와 긴밀하게 연결되면 악성코드의 증가가 더 큰 문제로 이어질 수 있다. 박찬암 라온시큐어 보안기술연구팀장은 “미래에는 웨어러블 기기뿐 아니라 심장 등 인체 내부에 들어가는 의료장비가 늘어날 텐데, 이 장비를 해킹해 질환을 만들어내거나 생명을 빼앗는 일까지 가능해질 것”이라며 “컴퓨터 바이러스가 곧 생체 바이러스가 되는 시대가 올 수 있다”고 경고했다.
이미 식물에 센서를 부착해 환경오염을 모니터링하는 식물인터넷(IoV·Internet of Vegetables), 곤충의 몸에 자가발전 연료전지를 부착한 곤충인터넷(IoI·Internet of Insects) 등의 생체인터넷이 연구 단계에 있다.
○상용화 시대 오기 전 대비해야
보안 위협은 완전히 제거하는 것이 불가능하다. 하지만 손을 놓고 있어서는 인터넷에 연결된 모든 사물이 쉽게 해킹에 악용된다는 것이 보안 전문가들의 지적이다. 앞서 좀비 가전의 해킹 사례를 찾아낸 프루프포인트 관계자도 “PC나 스마트폰에 비해 스마트 가전은 상대적으로 보안이 허술했다”는 점을 공격의 원인으로 제시했다.
크리스토퍼 영 시스코 보안총괄 부사장은 블로그를 통해 IoT 시대를 대비하는 보안 대책으로 ‘지능형 보안’을 꼽았다. 사물이 인터넷에 연결될 때마다 마구잡이로 보안 대책을 수립하는 것이 아니라 IoT 플랫폼 전체를 아우르는 영리한 보안 정책을 미리 만들어놔야 한다는 것이다. 그는 “기기와 네트워크, 클라우드를 전부 들여다볼 수 있는 보안 환경을 구축하고 새로운 사물이 플랫폼에 들어왔을 때 보안도 함께 확장 적용할 수 있도록 해야 한다”고 조언했다.
임종인 고려대 정보보호대학원장도 “기업에서 IoT의 개념을 활용한 스마트 가전을 만들 때 ‘활용’에만 관심을 기울이는 경향이 있다”며 “일관되고 신뢰성 있는 보안 정책을 만들어 설계할 때부터 고려하는 것이 옳다”고 말했다. 그는 “IoT를 신산업으로 연구하는 미래창조과학부 등 정부부처에서는 IoT를 논할 때 이 같은 보안 정책에도 깊은 관심을 기울여야 한다”고 주문했다.
스마트폰 보안과 마찬가지로 개인의 경각심이 필수적이라는 지적도 나왔다. 구 대표변호사는 “IoT 시대에는 개인의 동의에 의존한다고 해도 완벽하지 않고 오히려 수많은 동의로 인해 행태정보가 나도 모르는 새 제공될 가능성이 높다”며 “개인들이 자신의 주변 사물이 수집하는 개인 행태 정보를 효율적으로 관리할 수 있는 기술과 법제도의 연구가 필요하다”고 말했다.
김보영 기자 wing@hankyung.com