전동킥보드 보안이 취약한 것으로 나타났다. 관계기관이 보완 조치를 요구했지만 업계는 1년이 지나도록 별다른 조치를 하지 않고 있다.
17일 업계에 따르면 일부 전동킥보드 공유업체가 지난해 말 보안 취약점 제보를 받고도 현재까지 패치하지 않은 것으로 드러났다. 전동킥보드에는 원격제어 취약점 등 공격자가 가장 높은 단계의 해킹을 수행할 수 있는 보안 취약점이 포함돼 있다.
전동킥보드는 지난해 11월 한국정보기술연구원(KITRI)에 의해 무단 탈취, 서비스 불능 상태 만들기, 무과금 이용 등 보안 취약점이 드러난 바 있다. 그 결과를 토대로 KITRI는 '전동킥보드 공유서비스 보안 가이드라인'을 만들어 지난해 12월 한국인터넷진흥원(KISA)에 전달했다. 가이드라인은 전동킥보드 보안 위협을 모바일 애플리케이션(앱), 무선 통신 구간, 웹 응용프로그램개발환경(API) 서버, 하드웨어(HW)와 펌웨어 등으로 구분해 대응 방안을 각각 서술했다.
한 보안 전문가는 “전동킥보드 공유업체 대상으로 보안 취약점을 진단한 결과 주로 개발 단계에서 취약점이 발생했다”면서 “특히 클라우드 서비스를 이용하는 업체가 설정 실수로 보안 취약점을 만든 사례가 많다”고 말했다. 이 전문가는 “취약점이 방치되면 개인정보 노출 위험이 크다”면서 “개인정보 노출에 따른 2차 피해가 우려된다”고 말했다.
문제점이 제기됐지만 보안 취약점을 패치했거나 보안을 강화한 업체는 씽씽과 하이킥에 불과한 것으로 전해졌다. 업계 관계자는 “전동킥보드 보안 문제는 지난해 말부터 제기됐지만 아직 조치를 취하지 않은 곳이 대부분”이라면서 “위치정보를 포함한 개인정보 유출 등 보안이 우려된다”고 말했다.
특히 전동킥보드가 공유서비스 기반이라는 점은 개인정보 유출 우려를 키운다.
이희조 고려대 교수(SW보안 국제공동연구센터장)는 “공유 모빌리티는 같은 기기를 여러 사람이 쓰다 보니 취약점이 오용될 여지가 많다”면서 “전동킥보드 공유업체는 공통 라이브러리를 그대로 가져다 쓰기 때문에 기기에 개인정보가 저장되는 문제, 인증값 탈취 문제 등이 동일하게 나타난다”고 설명했다.
전동킥보드 보안 문제가 단기간 개선될지는 미지수다. 공유업체 대다수가 스타트업이다 보니 인력과 예산 측면에서 보안 조치가 어렵기 때문이다.
이 교수는 “전동킥보드 공유업체는 소수 인력이 서비스를 개발하다 보니 보안 팀을 따로 두기 어렵고 보안 방법을 모를 수 있다”면서 “전동킥보드 보안 문제를 단순히 기술 측면뿐만 아니라 사물인터넷(IoT)이라는 신서비스 부상에 따른 보안과 생태계 문제로 봐야 한다”고 조언했다.
KISA는 전동킥보드를 포함한 IoT 보안을 위해 기기별 세부 기준을 마련하고 있다.
KISA 관계자는 “올해 IoT 인증제도 법제화를 추진해 정보통신망법 개정으로 이어진 만큼 기기별 보안 기준을 수립하는 단계”라면서 “공통 고시를 바탕으로 모빌리티, 스마트홈 등 세부 기준을 내년 상반기에 제시할 방침”이라고 말했다.
오다인기자 ohdain@etnews.com