사물인터넷(IoT) 보안 사고가 터졌다. 원인 파악과 대처가 쉽지 않은 IoT 보안사고 특성이 그대로 나타났다. 지난달 29일 SK브로드밴드와 LG유플러스 망에 나타난 분산서비스거부(DDoS, 디도스) 공격은 일시 장애에 그쳤지만 국내 인터넷망 전체를 마비시켰던 1·25 인터넷 대란을 재현할 수 있는 새로운 위협이다. 스마트홈, 스마트의료, 스마트카 등 IoT 서비스가 일상생활로 확산되면서 기존 사이버 위험이 현실세계로 파고들었다.
◇IoT 기기가 좀비로 변하는 시대
그동안 공격자는 좀비 PC를 이용해 대규모 디도스 공격을 일으켰지만 최근에는 방법이 한 단계 진화했다. 가정용 무선공유기를 비롯해 냉난방 공조장비 등 PC가 아닌 인터넷에 연결된 모든 기기를 이용한다. IoT 공격 현실화다.
이번 디도스 사건에는 가정에서 주로 쓰는 무선공유기가 이용됐다. 무선 공유기는 기본적인 보안 솔루션인 안티바이러스도 설치되지 않은 데다 관리 주체가 불분명하다. 대부분 사용자는 무선 공유기 초기 설정을 변경하지 않은 상태로 사용한다. 최근 무선 공유기 해킹 사고가 빈발하면서 일부 제조사가 보안을 강화했지만 여전히 대부분 가정이 사이버 위협에 노출됐다.
IoT 시대는 해킹할 수 있는 단말이 늘어난다. 인터넷에 연결되는 냉장고 청소로봇, 의료기기 등 모든 기기는 해킹 대상이다. 문제는 이들 기기는 메모리와 중앙처리장치(CPU) 등의 하드웨어 스펙이 낮아 백신, 암호화, 인증 등 고품질의 보안기술을 적용하기가 힘들다. 보안 패치가 힘들고 통신 내용을 모니터링하기 어려워 보안 취약점이 증가한다.
복잡한 네트워크 구조도 IoT 취약점이다. 와이파이, 블루투스 등 이종 무선 네트워크가 상호 연동되면서 일정한 보안 수준을 유지하기 어렵다.
◇현실화된 IoT 디도스 공격
지난해 미국에서는 와이파이에 연결된 가정용 스마트TV와 냉장고가 수십만 건의 스팸메일을 전송하는 사고가 발생했다. 가전제품을 해킹해 하루에 세 차례씩 10만건 단위의 스팸메일 총 75만건을 개인이나 기업에 발송한 사례다.
미국 보안업체 아카마이는 해커가 가정용 IoT 기기를 해킹해 디도스 공격에 사용하는 사례가 늘면서 지난 3분기에만 디도스 공격에 쓰인 평균 최대 대역폭이 전 분기 대비 80% 폭증했다는 보고서를 내기도 했다. 지난 8월에는 HP가 현재 보급된 IoT 기기의 70%가량이 암호화나 사용자 접근 권한 등에 취약하다고 지적했다.
IoT 보안위협을 내년 보안시장의 화두로 지적한 보안업체도 있다. 시만텍은 지난주 ‘2015년 보안시장 이슈 톱10’을 소개하며 내년엔 IoT 보안 위협이 최대 이슈가 될 것으로 전망했다.
◇제품·서비스 보안 원칙 만들어야
IoT가 급속 확산되고 있지만 제품이나 서비스를 개발하는 제조사가 적용할 수 있는 IoT 보안 원칙이나 지침이 없다. IoT 정보보호 체계가 마련되지 않아 제품과 서비스의 안전한 도입, 운영과 침해사고 대응에 어려움이 크다. 이에 미래부는 지난 10월 IoT 정보보호 로드맵을 내놓고 위협 대응을 시작했다. 이 로드맵에 따라 제품이나 서비스 설계 단계부터 보안이 고려되지만 이미 위협은 현재 진행형이다.
백기승 KISA 원장은 “2020년까지 인터넷으로 연결되는 사물의 수 500억개로 추산되는데 이는 500억개의 보안 취약점이 생기는 것과 마찬가지”라고 설명했다.
강성주 미래부 정보화전략국장은 “누구나 안전하게 IoT의 편리함을 누리고 신성장동력으로 육성하기 위해서는 보안이 담보돼야 한다”며 “로드맵에 따라 보안이 내재화된 기반을 조성하고 관련 산업까지 육성하는 데 집중할 것”이라고 말했다.
김인순기자 insoon@etnews.com, 윤건일기자 benyun@etnews.com
