11.16
뉴스홈 > 칼럼
[기고] 사물인터넷 기기 유형별 보안 위협조혁주 이글루시큐리티 보안분석팀 대리

[컴퓨터월드]
   
▲ 조혁주 이글루시큐리티 보안분석팀 대리

현실로 다가온 사물인터넷(IoT) 시대

제4차 산업혁명은 첨단 정보통신기술이 경제 사회 전반에 융합되면서 일으키는 혁신적인 변화를 일컫는다. 이 용어가 2016년 세계경제포럼(WEF)에 처음 등장할 당시에는 향후 세계가 직면할 화두로서 언급된 것이 전부였으나, 시간이 흐른 지금은 어느덧 기술적 논의 단계를 넘어 우리의 삶 속에 스며들고 있다. 그리고 그 중심에 있는 핵심 기술 중 하나인 사물인터넷(Internet of Things, IoT) 역시 예외는 아니다.

사실 사물인터넷은 최근 갑자기 등장한 개념이 아니다. 실제 생활에서 반드시 필요한 혁신적인 기기가 등장하지 않아서 인지하지 못했을 뿐, 이미 사물인터넷 기술을 활용한 몇몇의 기기는 PC와 같이 당연하게 사용되는 일상의 일부분이 됐다. RFID와 NFC 기술을 활용한 교통카드, 모바일 신용카드, 멤버십 카드 등처럼 말이다.

더 나아가 최근에는 헬스케어 웨어러블, 자율주행자동차, CCTV, 대중교통, TV, 난방 시스템 등 분야를 막론한 사회 전반에 활용되면서 대중화되는 추세고 빅데이터, 인공지능(AI), 블록체인 기술과 함께 융합돼 제4차 산업혁명의 중심으로 자리매김하고 있다.

   
▲ 사물인터넷(Internet of Things) [출처: 센서엑스포(sensorsexpo)]

사물인터넷 시장을 더욱 발전시키기 위해서는 무엇보다 보안 문제의 해결이 필수적이다. 사물인터넷 기기의 여러 취약점을 노린 보안 위협은 지속적으로 증가하고 있으며 이를 악용하는 사례들도 속속 나타나고 있다.

지난 2016년 말, 미국 동부를 덮친 ‘미라이 봇넷(Mirai botnet)’은 사물인터넷 기기를 사이버 공격에 악용한 대표적 사례다. ‘미라이 봇넷’은 CCTV, 무선 공유기 등 보안이 허술한 다수의 사물인터넷 기기에 악성코드를 설치하고 인터넷 트래픽을 라우팅하는 DYN 서버를 공격하는 방식으로 이뤄졌다. 이로 인해 10만 대의 기기가 감염돼 트위터, 뉴욕타임즈를 비롯한 주요 웹사이트들을 마비시키는 대규모 혼란을 초래했다. 최근에도 ‘미라이’ 변종 악성코드와 ‘IoT 리퍼’ 등 사물인터넷 기기의 여러 취약점을 노린 보안 위협은 끊이지 않고 있다.

리서치 전문 기관 가트너에 따르면, 국내 사물인터넷 시장은 2020년까지 연평균 38.5%의 고성장을 거듭될 전망이다. 그리고 이러한 상황 속에서 ▲‘증가하는 악성코드의 보안 위협을 어떻게 대처할 것인가’ ▲‘벤더사의 보안 인식은 어떻게 제고시킬 것인가’ ▲‘폭발적으로 증가하는 다양한 사물인터넷 기기를 어떻게 관리할 것인가’ 등에 대한 답을 내리기 위해 사물인터넷 기기를 노리는 보안 위협에 대해 파악할 필요가 강조되고 있다. 이에 혁신적이라고 평가 받고 있는 사물인터넷 기기의 유형과 그에 따른 보안 위협을 함께 살펴보는 시간을 갖고자 한다.


농·축산업 생산성 향상의 혁신, ‘스마트 팜’

청년 귀농인이 크게 증가하고 있다. 성공을 위해 서울로 향했던 그들이 이제는 농가로 눈을 돌린 것이다. 귀농하는 젊은 인구의 증가로 농업의 계량화 및 자동화 시스템이 엄청난 속도로 발전하고 있다. 그리고 그 중심에는 사물인터넷 기반의 ‘스마트 팜’이 있다.

‘스마트 팜’이란 농·축산업에 ICT 기술을 접목해 PC나 모바일을 이용해 작물 생육, 환경 정보 데이터를 최적의 상태로 조작하는 시스템을 말한다. 최근 하나 둘씩 도입되고 있는 이 시스템은 시간과 공간의 제약 없이 원격으로 실시간 관리를 할 수 있어 편의성을 크게 향상시킬 뿐만 아니라 노동력 절감에도 큰 기여를 하고 있다. ‘스마트 팜’의 가장 궁극적인 목표는 생산성 향상인데 실제 국내 버섯을 재배하는 1인 농가에서는 도입 후 생산성을 10배 이상 상승시키는 효과를 보기도 했다.

그러나 ‘스마트 팜’은 CCTV, RFID, 와이파이(Wi-Fi), 지그비(ZigBee) 등의 ICT 기술을 활용하고 있기 때문에 정보통신 환경에서 일반적으로 발생하는 보안 위협과 ‘사물’이라는 특성으로 도난, 분실과 같은 물리적인 보안 위협을 동시에 가지고 있어 보안에 큰 주의가 필요하다. 만약 ‘스마트 팜’의 물리적인 접근을 감시하는 CCTV, 웹 카메라의 제어가 제대로 이뤄지지 않는다면 영상 정보가 유출되거나 삭제될 수 있고, PC나 모바일 같은 원격제어 시스템이 해킹될 경우 온도, 급수, 사료 공급 등의 모든 기능이 마비돼 농가는 치명적인 피해를 입을 수 있다.

실제로 작년 10월 유럽에서는 ‘스마트 팜’ 원격제어 시스템을 표적으로 한 ‘배드래빗(Bad Rabbit)’ 랜섬웨어가 발견됐으며 당시 세계적으로 큰 화제가 되었던 ‘워너크라이(Wanna Cry)’, ‘낫페트야(Not Petya)’와 함께 대규모 피해를 초래한 랜섬웨어로 기록된 바 있다.


미래 도시의 중심, ‘자율주행자동차’

운전자 없이 스스로 움직이는 자율주행자동차는 인공지능(AI)분야가 발전함에 따라 빠른 속도로 진화하고 있다. 자동차 업계에서는 2020년 상용화를 목표로 개발에 박차를 가하는 모습이지만 테슬라의 전기자동차가 자율주행 중에 트럭과 충돌한 사고나 우버의 자율주행차가 보행자를 사망하게 하는 사고 등 최근 자율주행자동차와 관련해 빈번히 발생하는 사고를 보고 있으면 그 신뢰성에 의문이 든다.

그리고 그 신뢰성의 문제는 기능의 오작동에 관해서만 존재하는 것이 아니다. 영화 ‘분노의 질주: 더 익스트림’에서 연출된 것처럼 해킹에 의해 공격자 마음대로 조종될 수 있다는 점과 집 주소, 주 이동 경로, 운행 정보 등의 프라이버시가 노출될 수 있다는 점 또한 꾸준히 문제점으로 지적되고 있다.

현재까지 공식적으로 알려진 해킹 사고는 없지만 국내외 연구원들은 자율주행자동차의 원격조종과 개인정보 유출의 가능성에 대해 이미 여러 차례 증명한 바 있다. 비록 이를 위해서는 자율주행자동차가 공격자 네트워크에 연결되어 있어야 하기 때문에 그 가능성이 희박하다고 할 수 있지만 ‘보안’의 궁극적인 목표를 위해서는 지속적인 연구와 보완이 필요하다.

자율주행자동차의 인식 기술은 ‘운전자 보조 시스템(Advanced Driver Assistance, ADAS)’로 구현된다. 이는 사물 인지 능력, 판단, 제어가 유기적으로 작동해야 하는 자율주행자동차의 핵심 기술로서 교통 표지판, 도로에 표시되어 있는 중앙선, 정지선 등을 인지·판단해 가속하고 정지할 수 있도록 돕는다.

그러나 지난해 워싱턴 대학교 연구팀은 자율주행자동차의 인지·판단 능력을 특별한 기술 없이 해킹될 수 있는 가능성을 증명했다. 인지·판단 능력을 ‘긍정 오류(False Positive)’ 시키는 것으로서 도로 표지판 스티커를 조작해 운행을 조작하는 것이다. 이렇듯 운전자의 안전에까지 직접적인 영향을 줄 수 있는 자율주행자동차의 여러 잠재적 위험 요소는 반드시 꾸준한 논의를 거쳐 해소돼야 한다.

   
▲ 자율주행자동차의 보안 위협 (출처 : KT경제경영연구소)

편리하고 멋진 스마트 라이프, ‘스마트 홈’

한국스마트홈산업협회는 ‘스마트 홈’을 ‘거주하고 생활하는 공간의 사물에 ICT를 접목해 삶의 편리함, 즐거움, 안전성의 가치를 제공해주는 서비스 환경’으로 정의하고 있다. TV, 냉장고, 난방 시스템, IP카메라, 에어컨, 냉장고 등 가정용 사물을 하나의 네트워크로 구축해 편리하게 관리하는 환경을 지향하는 것이다.

   
▲ ‘스마트 홈’ 시스템 (출처 : 이글루시큐리티)

일반적으로 가정에서 사용하는 ‘스마트 홈’ 시스템은 사물을 무선 네트워크에 연결해야 된다. 이 말은 무선 네트워크 단말기가 보안에 취약한 패스워드로 설정돼 있거나 공개된 취약점을 보유하고 있을 경우, 해킹의 위험성이 현저히 높아진다는 것이다. 또한 스마트 홈 시스템도 앞서 설명한 ‘스마트 팜’과 마찬가지로 원격제어 단말기가 해킹에 노출될 경우, 그 안에 속해있는 사물들도 노출되게 된다.

‘스마트 홈’ 시스템의 사물들은 각자 소형의 운영체계를 기반으로 동작하기 때문에 각각의 저장 공간에 데이터를 저장할 수 있는 능력이 있다. 일반적으로 사물의 기능이 사용될 때 자신의 저장 공간에 로그를 남긴다. 스마트 전등은 전등 스위치를 ON/OFF 할 때, 스마트 TV는 검색 기록 정보, 계정 ID/PW 등의 민감 정보와 로그를 남긴다. IP 카메라의 경우 녹화된 영상 데이터를 저장하고 스마트 도어락은 집의 출입 기록이 저장하며 일부 보안 기능이 전혀 없는 도어락은 잠금 장치를 해제할 수 있는 인증 값을 저장하고 있다.

그렇다면 이러한 상황에서 스마트 홈 시스템이 해킹된다면 어떻게 될까?

시나리오 1. 스마트 전등의 스위치 ON/OFF 정보를 통해 거주자 부재 시간 정보 유출
- 스마트전등 ON/OFF 기록 확인
- 물리적인 침입 가능 시간 확인
- 물리적 잠금 장치를 해제할 수 있다면 빈집 털이 가능

시나리오 2. 스마트TV 해킹으로 정보 유출 및 도청, 감청, 협박
- 영화 검색 기록이나 브라우저 검색 기록 등을 통해 애용하는 키워드 확인
- 사적인 키워드일 경우, 이를 빌미로 추가 금전 요구
- 사적인 대화 도청 및 감청
- 랜섬웨어 감염을 통해 금전 요구

시나리오 3. IP 카메라를 통해 사생활 영상 유출
- 사적인 대화 도청 및 감청
- 해킹된 IP 카메라 접속 정보를 관리하고 모니터링 할 수 있는 웹 사이트에 업로드
- 해당 웹 사이트에서 실시간으로 영상 공개

   
▲ ‘스마트 홈’ 시스템 해킹 시 발생할 수 있는 보안 위협 (출처 : 이글루시큐리티)

그 뿐만 아니라, 모든 사물은 서비스 거부(DDoS) 공격의 좀비 봇으로 활용될 수 있다. 앞서 언급한 ‘미라이 봇넷’과 같은 악성코드는 2016년부터 지속적으로 등장했고 수많은 사물인터넷 기기를 감염시키고 있다.


4차 산업 혁명 기술의 융합

최근 4차 산업혁명의 주요 요소인 빅데이터, 블록체인, 그리고 인공지능(AI)이 사물인터넷과 융합되는 양상을 보이고 있다. 먼저 대량의 데이터를 생산하는 구조에서 빛을 발하는 빅데이터는 2020년 그 기기의 수가 200억 개를 넘어설 것으로 전망되는 사물인터넷과 가장 적합한 기술로 평가 받는다. 대형마트의 상품과 같이 유지 및 관리돼야 하는 사물에 빅데이터 기술과 사물인터넷 기술이 융합될 경우, GPS를 통한 위치 확인, 유통 기한 관리, 상품의 온도 확인, 압력 등 모든 정보들에 있어 자동화가 가능하다.

블록체인은 사물인터넷 기기의 보안을 책임질 수 있는 기술로 판단된다. IBM은 블록체인을 ‘사물인터넷의 보안성을 만족시켜줄 기술’로 강조하고 있다. 블록체인과 사물인터넷의 융합은 보안적인 측면에서 패키지의 이력을 안전하게 등록할 수 있고 블록체인의 시도응답(Challenge Response) 방식으로 신뢰성 있는 통신 채널을 제공할 것으로 기대되고 있다.

인공지능(AI)기술과 사물인터넷의 융합은 이미 자율주행자동차 등에 적용돼 활용되고 있다. AI를 통해 완전 자동화가 가능하고 사물인터넷으로 모든 사물의 연결성을 만족시킬 수 있다.


사물인터넷 기술의 보안 대책 방안

사물인터넷의 공식적인 해킹 사례를 살펴보면 ‘미라이 봇넷’과 같은 악성코드에 의한 것이 대부분이다. 일반적으로 이러한 악성코드 감염은 기기가 사용하는 네트워크를 통해 이뤄지기 때문에 안전한 보안 인식을 바탕으로 사물인터넷 기기를 설정하고 네트워크 보안을 강화해야 한다.

먼저 개인 사용자는 사물인터넷 기기의 계정과 무선 네트워크 패스워드를 복잡하게 설정하고 사물인터넷 기기가 유선을 지원할 경우, 유선으로 네트워크를 연결하는 것이 좋다. 또 기기에 탑재된 불필요한 기능은 제한하고 보안 업데이트를 생활화해야 한다.

사물인터넷 기기 제조사는 모든 기기의 통신을 SSL과 같은 암호화 프로토콜을 활용해 구현해야 하며, 저장되는 데이터에 대해서도 암호화를 진행해야 한다. 그리고 저장되는 데이터는 기기 자체의 저장 공간 보다 클라우드 형태의 저장 공간에 보관하는 것이 기기의 안전성을 더욱 높일 수 있는 방법이다.

모든 기술의 발전에는 명암이 존재한다. 빠른 발전이 있으면 그에 따른 여러 문제들이 동반되기 마련이다. 앞서 언급했듯이 오늘날 사물인터넷은 사회 전반에 적용되며 삶의 편의성을 크게 높여주고 있다. 그러나 그만큼 보안에 문제가 생길 경우, 생활 전반에 깔린 사물이 민감한 개인정보를 유출시키고 사이버 공격에 악용되는 등의 통로 및 수단으로 전락할 위험이 높다. 자칫하면 양날의 검이 될 수 있는 사물인터넷 기술을 올바르게 활용하고 발전시키기 위해 사용자와 기업 모두가 보안성 확보에 힘을 모아 나갔으면 하는 바람이다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오