[경제 히스토리] 사물인터넷의 그늘… 다리미 스파이·자동차 해킹 사고 현실로?

‘내 컴퓨터에 접근해 저장된 데이터를 해외 서버로 유출한 해커가 다리미라고?’

인터넷을 기반으로 사람과 사물, 사물과 사물 간 소통하는 사물인터넷(IoT) 시대가 열리면서 보안 문제가 급부상하고 있다. IoT로 구현된 ‘초연결사회(Hyperconnected World)’는 영화 속에서나 가능할 것 같던 일들을 현실로 만들어주고 있지만 그 달콤한 미래 이면에 보안 위험이 존재하고 있다.

◇IoT 500억대 시대 도래…해킹 비상=보안업체 시스코(Cisco)는 현재 서로 연결된 IoT 기기가 100억대 이상이며 2020년에는 500억대를 돌파할 것으로 내다봤다. 하지만 기기 발전 속도를 보안 수준이 따라가지 못하면서 IoT 기술이 발전하는 속도만큼 보안 위협도 증가하고 있다는 지적이 제기된다. 기존 IoT 기기들은 패스워드 입력 등 낮은 수준의 보안만을 요구하고 있기 때문에 해킹에 취약하다는 것이다.

보안 위협 우려는 현실이 되고 있다. 실제로 2013년 러시아에서 유통된 중국산 다리미와 전기주전자에서 30여개 스파이 기능의 해킹칩이 발견되기도 했다. 이 해킹칩은 보안 설정이 안 된 무선 네트워크를 노려 같은 망에 있는 컴퓨터에 악성코드와 스팸을 유포하고 데이터를 유출시켰다. 자신의 데이터를 유출한 해커가 다리미였다는 사실에 전 세계 소비자들은 경악했다. 지난해 미국 텍사스주에서는 유아 모니터 기기가 해킹당해 700개가 넘는 카메라에서 전송된 영상 링크가 인터넷에 유포돼 미국 연방통상위원회(FTC)의 제재를 받기도 했다.

또 HP가 지난해 7월 TV와 웹캠, 온도측정기, 스프링클러, 도어락 등 주요 제조사의 IoT 기기 10종에 대한 보안 위협을 분석한 결과 약 90%가 주소, 생년월일, 건강정보, 카드정보 등 개인정보를 수집해 암호화하지 않은 채로 전송되거나 기업의 클라우드 서비스와 연동돼 프라이버시 침해 우려가 있는 것으로 나타났다. 시스코 엔지니어 에릭 빈크는 “사물인터넷 적용 분야가 너무 방대해 시나리오별로 보안 분석을 수행하기도 어려운 상황”이라고 지적한 바 있다. 네트워크 공간이 증가하고 복잡한 환경 속에서도 기기 간 통신이 수월해지면서 동시에 보안 위협도 증가하고 있는 것이다.

◇보안 취약하면 경제적 손실뿐 아니라 생명 위협도=보안에 취약한 이유는 암호화 기술을 규격이 다양한 IoT 기기에 적용하기 어렵기 때문이다. 기존 PC 환경에서 활용되던 암호화 알고리즘은 연산이 복잡해 소형 IoT 기기에서 작동시키기 어렵다. 또 암호화 과정에서 배터리 소모가 일어나기 때문에 IoT 기기에서 고도의 보안 기술을 적용하기도 쉽지 않다. 이 밖에도 공격자에게 노출되기 쉬운 센서를 기반으로 하고 소프트웨어 업데이트·관리가 어렵다는 것도 보안 취약 이유로 꼽힌다.

IoT 보안 문제는 단순한 정보유출뿐 아니라 산업 전반의 피해로 이어진다. 지난해 산업연구원(KIET)은 자동차 산업에서 보안사고가 발생했을 때 이어질 수 있는 연관 산업 피해 규모를 가정했다. 보안 피해가 발생해 국내 자동차 수요가 10% 감소한다고 가정하면 자동차산업뿐 아니라 금속제품, 화학제품, 전기·전자기기, 부동산·사업서비스, 석유·석탄제품 등 관련 산업까지 피해가 이어져 약 24조원의 피해가 발생한다는 결과가 산출됐다.

IoT 기반으로 이뤄지는 헬스케어나 스마트카 등에 보안 피해가 발생하면 경제적 손실뿐 아니라 생명 위협으로도 이어질 수 있어 더욱 심각하다. 지난해 고려대 정보보호대학원 보안연구실과 보안업체 에스이웍스는 스마트폰으로 스마트카 3대를 해킹하는 시연을 벌여 10㎞ 거리 밖에 있는 차를 스마트폰을 통해 무력화시키는 데 성공했다. 운전자가 타고 있는 실제 상황이었다면 위험천만한 사고로 이어질 수 있는 상황이었다.

◇기기별 강력한 비밀번호, 최신 버전 업데이트 필수=전 세계적으로 IoT 보안 문제가 대두되면서 미국과 유럽 등은 IoT 보안 지침을 개발해 보급하고 있다. 원칙적으로 자율규제에 중점을 두고 있지만 생명과 직결되는 의료 등의 분야에서는 의무적으로 보안을 적용토록 했다. 유럽연합(EU)은 2013년부터 가이드라인을 제시하는 방식의 시장 자율규제 보안 정책을 추진하고 있고 미국은 지난해부터 국책 연구과제로 우선 지정해 150개에 걸친 IoT 기술과 과학, 엔지니어링 분야의 연구를 수행하고 있다. 특히 미국 FDA에서는 IT 의료기기에 보안 기능이 적용되지 않으면 판매 허가를 내주지 않도록 했다. 중국은 2012년 제정된 ‘12차 5개년 IoT 개발 계획’에 따라 보안 핵심기술 개발을 추진 중이다.

우리나라의 경우 미래창조과학부가 지난해 ‘IoT 정보보호 로드맵’을 수립하고 서비스별 보안 지침을 마련해 본격 시행을 앞두고 있다. 2018년까지 홈·가전, 의료, 교통, 환경·재난, 제조, 건설, 에너지 등 7대 핵심 분야에서 IoT 기기나 서비스의 보안이 내재된 기반을 조성하고 보안 침해사고 대응을 위한 ‘IoT 사이버 위협 종합 대응체계’를 구축한다는 계획이다. 또 기기와 네트워크, 서비스 플랫폼 등 3개 계층을 나눠 이를 보호할 수 있는 ‘시큐어돔’ 프로젝트를 추진할 예정이다. IoT 보안 인력인 ‘IoT 시큐리티 브레인’ 양성도 추진한다.

개인이 IoT 기기를 활용할 때 주의를 기울이면 보안 사고를 예방할 수도 있다. 한국인터넷진흥원(KISA)은 사물인터넷 보안 위험을 예방하기 위해 IoT 기기들이 보안에 취약할 수 있다는 점을 인식하는 것이 중요하다고 조언한다. 먼저 이용자는 인터넷 연결 장치와 인터넷 사이를 연결해주는 모뎀·라우터를 안전하게 보호하고, 방화벽 구성·작동 여부를 확인해야 한다. 또 네트워크에 어떤 기기가 연결돼 있는지 확인하고 화면이나 키보드가 없는 디바이스도 보안에 취약할 수 있는 점을 인식해야 한다고 지적했다. 구매한 기기가 홈 네트워크에 연결된다면 외부 인터넷으로도 접근이 가능하기 때문에 보안 위협으로부터 네트워크를 보호하는 것이 좋다. 또 모든 기기에 설정된 초기 비밀번호를 변경하고 문자, 숫자, 기호 등을 조합한 강력한 비밀번호를 사용하는 것도 방법이다. 기기 관련 소프트웨어와 보안 패치를 최신 버전으로 업데이트하는 것도 필수다.

김유나 기자 spring@kmib.co.kr