사물인터넷(IoT)을 활용한 첨단 기기와 서비스가 확산되고 있다. 특히 스마트홈·가전 시대를 맞아 개인 맞춤 서비스가 가능해지면서 IoT는 우리 생활에 깊숙이 스며들고 있다. 문제는 보안이다. 편해진 만큼 내 정보도 쉽게 빠져 나가는 세상이 됐다. 정부도 ‘IoT 보안 로드맵’을 마련하고 ‘IoT 보안 테스트베드’를 구축해 대응방안 마련에 나섰다. 일상 속으로 파고든 스마트홈·가전의 IoT 보안 위협사례 및 취약점과 대응방안을 모색해 본다.
얼마 전 러시아에서 통관 절차 중인 중국산 다리미에서 스팸 발송 칩이 발견돼 세상을 깜짝 놀라게 했다. 200m 이내 무선 랜에 접속해 바이러스를 전파하고 스팸 공격을 하도록 설계된 칩이었다.
국내에서는 이혼한 남편이 전 부인 집 보일러를 앱으로 조정해 가스 요금 폭탄을 맞게 한 사건도 벌어졌다. 스마트폰 앱이 악성코드를 실행해 연결된 네트워크 공유기 DNS를 변조시켜 파밍사이트로 만든 사례도 있었다.
◇보안 내재화 미흡이 문제 = 융합제품이나 융합서비스에 활용하는 IoT 기기 70%가 암호화되지 않은 네트워크로 데이터를 전송하는 것으로 파악됐다. 제품과 서비스 생산자가 보안에 관심이 낮거나 보안기능을 탑재하는데 상당한 비용과 시간이 소요되는 이유로 기피하기 때문이다.
스마트폰홈 센서 제어용으로 설계된 월패드는 보안이 취약하다. 제3자 댁내 침입이나 홈CCTV 영상 엿보기 등이 가능하다. 보안패치는 제대로 안된다. 위험성을 모르거나 알더라도 제품·서비스 제공자가 기술지원을 하지 않기도 한다.
보일러·가스센서·스마트 미러링·도어락·스마트조명 등 스마트홈 서비스와 스마트 가전제품도 보안 위협에 노출돼 있다. 오픈소스 소프트웨어(SW) 취약점을 패치하지 않고 출시하거나 펌웨어 업데이트 무결성을 확인하지 않고 업데이트 하면 조작된 펌웨어가 설치될 수 있다. 악성 펌웨어가 깔리면 사생활과 개인정보가 그대로 노출된다.
◇보안 위협 경로와 종류 = IoT 환경에서 보안 위협은 개별적으로는 크지 않다. 하지만 각 위험요소가 연관됐을 때 피해 파급효과가 커진다.
디바이스는 검증되지 않은 부품이나 플랫폼을 사용하면 공급망 공격을 당할 수 있다. 기기에 노출된 디버그 포트로 펌웨어 획득·비인가 접속·권한 우회·무작위 대입 공격으로 원격 권한 탈취·근거리 통신 정보 도청·위변조·백도어 사용·전류 변화를 관찰하는 부채널 공격이 발생할 수 있다.
네트워크 측면에서는 DNS(Domain Name Server) 변조로 파밍·네트워크 도청·위변조 및 재전송 공격·중간자 공격·DDoS·사설IP 무작위 공격 위협이 있다. 게이트웨이와 엔드 디바이스를 연결하는 WiFi·블루투스·지그비·Z-웨이브 등 근거리 무선 프로토콜에도 취약점이 있다. 이 구간에서 중간자 공격과 비인가자의 이용자 식별이나 추적이 모두 가능하다.
서비스 측면에서는 클라우드 인터페이스 해킹, 취약한 공개 플랫폼 해킹, 업데이트 제공 서버에서 펌웨어 유출, 웹·앱·모바일 어플리케이션 해킹 위협 등이 있다. 디바이스, 네트워크단 위협과 결합해 파급효과가 증폭된다.
새로운 제품과 서비스가 계속 만들어지는 만큼 이 같은 IoT 보안 위협은 더 다양하고 복잡해지는 추세다.
◇IoT 보안 대응 방안 및 현황 = 보안 위협에는 선제적으로 대응해야 피해를 줄일 수 있다. 제품 설계 단계부터 보안 규격을 제시하는 등 제조 프로세스에 보안 SDL(Software Developement LifeCycle)을 적용하는 것이 필요하다.
사용자 역할도 중요하다. 공유기 설치 시 비밀번호를 변경하고 PC에 백신을 설치하는 것은 기본이다. 확인되지 않은 콘텐츠나 SW는 다운받거나 실행하지 말고 모르는 URL은 클릭하면 안된다.
기업들이 참여하는 표준화 기구도 필요하다. 현재 퀄컴·LG·파나소닉 등이 추진하는 올신(ALLSeen) 연합, 인텔·삼성이 참여하는 OIC(Open Interconnection Consortium), 구글·네스트 등이 만든 스레드 그룹 등이 있다.
한편 미래부와 한국인터넷진흥원은 지난해 10월 ‘IoT 정보보호 로드맵’을 마련하고 지난 6월부터 △보안 내재화 IoT 기반 조성 △글로벌 IoT 선도 기술 개발 △IoT 보안 산업 경쟁력 강화를 목표로 3개년 계획을 시행 중이다.
계획의 일환으로 7가지 IoT 공통보안원칙을 마련한 데 이어 지난 10월에는 IoT 혁신센터에 IoT 보안 테스트베드도 개소했다.
이밖에 IoT 관련 제조·서비스 업체와 보안업체 및 산·학·연·관 50여개 기관이 참여하는 IoT 보안 얼라이언스도 출범, 쟁점이 되는 보안 이슈를 공유하고 제도 개선을 논의하고 있다.
백종현 한국인터넷진흥원 융합보안산업팀장은 “스마트홈·가전이 IoT 시장 활성화를 견인하면서 보안문제가 심각한 이슈로 떠오르고 있다. 홈IoT 보안 심각성을 인식하고 준비하면 홈IoT 해킹 사고로 인한 대응비용을 최소화할 수 있다”며 “사물인터넷의 편리함을 원하면 보안은 우선적으로 해결해야 할 과제”라고 강조했다.
김순기기자 soonkkim@etnews.com