[이슈분석]보안 무시한 사물인터넷 `재앙 부른다`

# 올여름 휴가에 요즘 유행하는 캠핑을 계획한 김사물씨. TV 채널을 돌리다 각종 캠핑용품을 저렴하게 판매하는 홈쇼핑에 눈이 멈췄다. 인터넷 최저가보다 반이나 싼 가격에 바로 구매를 결정했다. 약속된 배송일이 일주일이 지나도록 상품이 오지 않아 해당 홈쇼핑에 문의했더니 청천벽력 같은 소리를 들었다. 이른바 ‘티비싱(TVshing)’에 당했다. 스마트TV에 설치된 악성코드가 가짜 홈쇼핑 채널을 연결해 결제를 유도했다.

가까운 미래에 당할 수 있는 신종 스마트TV 범죄다. TV와 피싱(Phishing)을 합친 신조어 티비싱이 나올 날도 머지않았다. 스마트TV를 비롯해 인터넷과 연결돼 통신하는 냉장고와 세탁기 등은 모두 해커의 잠재적 먹잇감이다. 모든 사물을 인터넷으로 연결해 사람과 사물, 사물과 사물의 정보를 소통하는 사물인터넷(IoT) 보안 위협은 현실이다.

◇IoT 보안 위협이 몰려온다

최근 A사 온라인 게임이 대규모 분산서비스거부(DDoS) 공격을 받았다. 한국인터넷진흥원(KISA) 조사 결과 게임에 과도한 트래픽을 보낸 곳은 국내 유수 대학이었다. 하지만 대학 PC에선 공격 흔적을 찾을 수 없었다.

DDoS 공격의 진원지는 좀비PC가 아닌 대학에 설치된 냉난방 관리용 셋톱박스였다. 공격자는 냉난방 관리 셋톱박스에 들어있는 네트워크타임프로토콜(NTP) 서버포트(123)를 이용했다. NTP는 클라이언트와 서버 사이에 시간을 동기화하는 프로토콜이다. 공격자는 이 프로토콜의 취약점을 활용해 DDoS 공격을 감행했다.

사물인터넷의 보안 위협이 그대로 드러난 사례다. 관리용 셋톱박스부터 최근 급증하는 스마트 가전을 노린 위협은 더 이상 미래의 일이 아니다. 2013년 유아 모니터, 보안 카메라, 라우터를 이용한 해킹 사고가 보고됐으며 사이버 범죄자가 스마트TV, 자동차, 의료 장비 등으로 눈길을 돌리고 있다. 시만텍코리아는 특히 리눅스 달로즈(Linux.Darlloz)에 주목했다. 이 악성코드는 패치되지 않은 취약점이 있는 곳에 원격으로 표적공격을 시도할 수 있다.

카스퍼스키랩은 사물인터넷이 머지않아 가정 대부분에 영향을 미치는 최신 보안 위협이 될 것이라고 경고했다. 실제로 냉장고 10만대를 비롯해 스마트 주방기기가 해킹당해 75만건에 달하는 스팸메일이 발송된 사례도 나왔다. 카스퍼스키랩은 최근 하루 평균 31만5000건의 사물인터넷 위협 의심활동이 보고된다고 밝혔다. 이는 과거 대비 갑절을 초과하는 수치다.

◇무방비 IoT 기기 확산

사물인터넷 확산은 스마트 가전의 급속한 팽창을 의미한다. 가전제조사 대부분은 TV에 인터넷 접속 기능을 기본으로 넣는다. 2016년까지 1억만대 이상의 스마트TV가 인터넷에 연결될 것이라는 전망도 나왔다. 해커는 대중성과 광범위하게 사용되는 기기를 목표로 삼는다. 짧은 시간에 큰 효과를 볼 수 있기 때문이다. 제조사는 자체 운용체계(OS)를 쓰거나 오픈소스인 구글 안드로이드 등에 기반을 두고 스마트TV를 만든다.

사물인터넷 기기는 대부분 낮은 보안 수준의 비밀번호가 적용돼 해킹에 취약하다. 가장 기본적인 보안 솔루션인 백신도 없고 데이터 전송에 암호화를 하지도 않는다.

최근 스마트TV나 셋톱박스는 사실상 PC나 마찬가지다. OS를 쓰며 검색은 물론이다. 소셜네트워크를 이용하고 새로운 앱도 설치할 수 있다.

지난해 스마트TV 보안 취약점을 찾아낸 이승진 그레이해쉬 대표는 “스마트TV는 PC에 TV를 볼 수 있게 만든 기기로 생각하면 된다”며 “PC에 가할 수 있는 보안 위협과 동일한 공격이 가능하다”고 설명했다.

해커는 스마트TV에서 발견되는 OS 취약점이나 프로토콜 취약점을 이용해 악성코드를 제작하거나 공격을 시도한다. 최신 스마트TV는 웹캠을 내장했다. 해커가 악성코드를 스마트TV에 감염시키면 웹캠에 접근할 수 있다. 스마트TV 사용자의 은밀한 사생활이 한순간에 노출될 위험이 높다.

◇IoT 구멍 숭숭...재앙될 수도

검색만 잘해도 어디에 보안이 취약한 사물인터넷 단말이 존재하는지 알 수 있다.

‘쇼단(Shodan)’은 웹캠과 CCTV, 홈오토메이션 등 인터넷에 연결된 기기를 찾아주는 검색엔진이다. 쇼단을 이용하면 인증이 필요 없는 수많은 단말을 손쉽게 찾을 수 있다. 콘텐츠를 찾으려고 웹을 수집하는 구글과 달리 쇼단은 인터넷 뒷구멍을 찾는다. 쇼단은 매달 5억개 이상의 인터넷 연결 단말기와 서비스 정보를 수집하는 것으로 알려졌다.

사물인터넷 하드웨어 제조사는 대부분 보안 위협 인식이 낮다. 제품이 사이버 공격에 취약할 뿐만 아니라 보안 위협이 확인되더라도 이를 소비자에게 공지할 수 있는 시스템이 없다. 소비자가 취약점에 대응할 수 있도록 쉽게 보안 패치를 설치하는 방법도 마련하지 못했다. 사고가 나면 속수무책이 될 공산이 크다.

스마트TV 해킹 사고는 빙산의 일각이다. 사물인터넷 보안사고는 단순히 개인정보 유출이나 전자금융 사기, 대규모 DDoS 공격으로 일부 기업이나 기관이 마비되는 선에서 끝나지 않는다. 재난안전망에 쓰인 센서를 비롯해 자동차, 제어시스템 등이 해커 손아귀에 넘어가면 사회나 국가가 마비되거나 국민 생명을 위협하는 엄청난 재앙을 초래한다.

조원영 시만텍코리아 대표는 “사물인터넷은 서로 다른 OS와 애플리케이션이 쓰여 보안 위협에 신속하게 대처하기 어렵다”며 “제품 설계 초기부터 보안을 고려해야 한다”고 말했다.

이순형 라온시큐어 대표는 “사물인터넷 기술을 활용하는 기업은 제품 최초 기획 단계부터 시장 확대나 이익창출보다 보안성 확보를 최우선으로 고려해야 한다”며 “개인도 IoT 관련 제품의 선택 기준으로 높은 보안성을 따져야 한다”고 말했다.

김인순기자 insoon@etnews.com