2013.12.19

기고 | 스마트 기기의 편리함 뒤에 숨은 보안 위협들

Taylor Armerding | CSO

신형 ‘스마트' 냉장고가 출시됐다. 이 똑똑한 냉장고는 당신에게 수 많은 편의를 제공해준다. 예를 들어 냉장고에 우유가 떨어져 간다면, 자동으로 주문을 넣어 줄 것이다. 하지만, 그 이면의 단점도 생각해보자. 어떤 악의적 해커가 이 냉장고를 해킹해 당신의 집으로 2만 리더의 우유가 배달되도록 한다면?

물론 힘들게 해킹해 이런 장난을 치는 해커는 없겠지만, 어쨌거나 충분히 가능한 가설임엔 틀림 없다. 또 해킹 위협은 이처럼 단순한 불편만을 야기하는 것도 아니다. 당신이 외출한 사이, 현관 문이 자동으로 열려버린다면?

이 역시 실제 확인된, 분명히 가능한 시나리오다. 보안 전문가들은 이미 10년 전부터 전자 기기에서 ‘스마트'란 ‘안전'과 동의어가 아님을 지적했다. 그들은 전자 기기 개발에서 보안 문제를 우선으로 고려하지 않으면, 기기가 제공해주는 편리함이 사이버 공격자들에겐 좋은 침입 경고로 이용될 것이라 경고해왔다.

늘어난 사물인터넷만큼 증가한 보안 위협
올 2월 폴닷컴 보안 주간 TV(PaulDotCom Security Weekly TV)와의 인터뷰에서 텍티컬 네트워크 솔루션즈(Tactical Network Solutions)의 취약점 연구원 크레이그 헤프너는 강한 어조로 “지난 15년의 컴퓨터 보안의 역사를 되돌아보라. 그 당시에도 존재했고, 지금까지 이어져 오고 있는 문제들은 모두 임베디드 시스템에 존재하는 것들임을 확인할 수 있을 것이다”라고 언급했다.

전문가들은 발생할 문제의 규모는 시장이 성장함에 따라 더욱 커져갈 것이라고 전망했다. 지난 달 연방무역위원회(FTC, orders of magnitude)의 후원으로 개최된 사물 인터넷(IoT, Internet of Things) 컨퍼런스에서 위원회의 의장인 에디트 라미레즈는 현재 35억 개 규모의 네트워크 내 센서 수가 향후 10년 내 조 단위로 증가할 것으로 예상된다고 이야기했다. 실제로 최근 생산되는 차량들에는 100 개 이상의 임베디드, 커넥티드 컴퓨터가 갖춰진 경우가 많다.

라미레즈는 “이미 5년 전 인터넷에 연결된 사물의 수는 인터넷 이용 인구 수를 넘어섰다. 현재 10% 수준인 차량 플랫폼(vehicle platform)의 보급률은 2020년에 들어서면 90%을 넘길 것으로 전망되고 있다. 2015년에는 250 억 개의 사물들이 인터넷에 연결되고, 2020년이 되면 그 수치가 두 배로 늘어날 것으로 예상됐다. 소비자 시장에서 스마트 기기는 건강 정보 추적, 노령 인구에 대한 원격 지원, 공과금 효율화, 심지어는 ‘우유 구매 알람' 등 다양한 가치를 제공할 것이다”라고 말했다.

하지만 그녀는 이 모든 편리함들이 필연적으로 야기할 개인정보 보호와 보안 관련 문제에 대해 언급했다. 라미레즈의 이러한 긍정적, 부정적 전망에 대해 FTC는 “기업들에게 보안 역량 강화는 거부할 수 없는 흐름이다”라는 입장이라고 밝혔다.

이러한 위원회의 방향성에 대해 전문가들은 “분명 언젠가는 그렇게 되겠지만, 현재로서는 오히려 반대로 보안 기능을 핵심 요소로 포함하는 스마트 기기가 이례적인 것으로 취급되고 있다”고 말했다. FTC 컨퍼런스의 ‘커넥티드 홈’ 토론에 패널로 참석한 헤프너는 “최소한 오늘날의 기준에선, 소비자 기기엔 보안 기능이 없는 것이 일반적이다”라고 주장했다.

이후 한 인터뷰에서 헤프너는 이러한 주장의 주요한 근거를 “상품의 보안 문제는 소비자들의 구매 의사 결정 과정에서 고려 요인이 되지 않는다. 소비자들은 상품의 기능과 디자인, 가격에 주목할 뿐이다. 기업의 입장에서 소비자들이 신경 쓰지 않는, 앞으로도 신경 쓰지 않을 부분에 돈을 투자해야 할 이유는 전혀 없다”라고 주장했다.

보안 업계의 권위자인 BT의 최고 보안기술 책임자 브루스 슈나이어 역시 한동안은 이러한 시각에 동의했다. 지난 8월 블로그 포스트를 통해 슈나이어는 소비자 기기에서 대규모 산업 관리 시스템까지의 모든 것들이 ‘오랜 기간 해킹의 위협에 노출되어왔다'고 설명한 바 있다.

그리고 그는 그 책임이 제조업체와 소비자 모두에게(하지만 대부분은 업체에) 있다고 지적했다. 블로그에서 그는 “보안을 제대로 잡기란 정말 어려운 문제다. 전문 지식뿐 아니라, 시간까지 필요한 과정이기 때문이다. 이에 더해 사용자들마저 보안 시스템 및 스마트 기구의 구매 과정에서 이 문제를 그다지 신경쓰지 않는다. 기업의 입장에선 자신들이 앞장서 보안을 다룰 동기가 없는 것이다”라고 설명했다.




2013.12.19

기고 | 스마트 기기의 편리함 뒤에 숨은 보안 위협들

Taylor Armerding | CSO

신형 ‘스마트' 냉장고가 출시됐다. 이 똑똑한 냉장고는 당신에게 수 많은 편의를 제공해준다. 예를 들어 냉장고에 우유가 떨어져 간다면, 자동으로 주문을 넣어 줄 것이다. 하지만, 그 이면의 단점도 생각해보자. 어떤 악의적 해커가 이 냉장고를 해킹해 당신의 집으로 2만 리더의 우유가 배달되도록 한다면?

물론 힘들게 해킹해 이런 장난을 치는 해커는 없겠지만, 어쨌거나 충분히 가능한 가설임엔 틀림 없다. 또 해킹 위협은 이처럼 단순한 불편만을 야기하는 것도 아니다. 당신이 외출한 사이, 현관 문이 자동으로 열려버린다면?

이 역시 실제 확인된, 분명히 가능한 시나리오다. 보안 전문가들은 이미 10년 전부터 전자 기기에서 ‘스마트'란 ‘안전'과 동의어가 아님을 지적했다. 그들은 전자 기기 개발에서 보안 문제를 우선으로 고려하지 않으면, 기기가 제공해주는 편리함이 사이버 공격자들에겐 좋은 침입 경고로 이용될 것이라 경고해왔다.

늘어난 사물인터넷만큼 증가한 보안 위협
올 2월 폴닷컴 보안 주간 TV(PaulDotCom Security Weekly TV)와의 인터뷰에서 텍티컬 네트워크 솔루션즈(Tactical Network Solutions)의 취약점 연구원 크레이그 헤프너는 강한 어조로 “지난 15년의 컴퓨터 보안의 역사를 되돌아보라. 그 당시에도 존재했고, 지금까지 이어져 오고 있는 문제들은 모두 임베디드 시스템에 존재하는 것들임을 확인할 수 있을 것이다”라고 언급했다.

전문가들은 발생할 문제의 규모는 시장이 성장함에 따라 더욱 커져갈 것이라고 전망했다. 지난 달 연방무역위원회(FTC, orders of magnitude)의 후원으로 개최된 사물 인터넷(IoT, Internet of Things) 컨퍼런스에서 위원회의 의장인 에디트 라미레즈는 현재 35억 개 규모의 네트워크 내 센서 수가 향후 10년 내 조 단위로 증가할 것으로 예상된다고 이야기했다. 실제로 최근 생산되는 차량들에는 100 개 이상의 임베디드, 커넥티드 컴퓨터가 갖춰진 경우가 많다.

라미레즈는 “이미 5년 전 인터넷에 연결된 사물의 수는 인터넷 이용 인구 수를 넘어섰다. 현재 10% 수준인 차량 플랫폼(vehicle platform)의 보급률은 2020년에 들어서면 90%을 넘길 것으로 전망되고 있다. 2015년에는 250 억 개의 사물들이 인터넷에 연결되고, 2020년이 되면 그 수치가 두 배로 늘어날 것으로 예상됐다. 소비자 시장에서 스마트 기기는 건강 정보 추적, 노령 인구에 대한 원격 지원, 공과금 효율화, 심지어는 ‘우유 구매 알람' 등 다양한 가치를 제공할 것이다”라고 말했다.

하지만 그녀는 이 모든 편리함들이 필연적으로 야기할 개인정보 보호와 보안 관련 문제에 대해 언급했다. 라미레즈의 이러한 긍정적, 부정적 전망에 대해 FTC는 “기업들에게 보안 역량 강화는 거부할 수 없는 흐름이다”라는 입장이라고 밝혔다.

이러한 위원회의 방향성에 대해 전문가들은 “분명 언젠가는 그렇게 되겠지만, 현재로서는 오히려 반대로 보안 기능을 핵심 요소로 포함하는 스마트 기기가 이례적인 것으로 취급되고 있다”고 말했다. FTC 컨퍼런스의 ‘커넥티드 홈’ 토론에 패널로 참석한 헤프너는 “최소한 오늘날의 기준에선, 소비자 기기엔 보안 기능이 없는 것이 일반적이다”라고 주장했다.

이후 한 인터뷰에서 헤프너는 이러한 주장의 주요한 근거를 “상품의 보안 문제는 소비자들의 구매 의사 결정 과정에서 고려 요인이 되지 않는다. 소비자들은 상품의 기능과 디자인, 가격에 주목할 뿐이다. 기업의 입장에서 소비자들이 신경 쓰지 않는, 앞으로도 신경 쓰지 않을 부분에 돈을 투자해야 할 이유는 전혀 없다”라고 주장했다.

보안 업계의 권위자인 BT의 최고 보안기술 책임자 브루스 슈나이어 역시 한동안은 이러한 시각에 동의했다. 지난 8월 블로그 포스트를 통해 슈나이어는 소비자 기기에서 대규모 산업 관리 시스템까지의 모든 것들이 ‘오랜 기간 해킹의 위협에 노출되어왔다'고 설명한 바 있다.

그리고 그는 그 책임이 제조업체와 소비자 모두에게(하지만 대부분은 업체에) 있다고 지적했다. 블로그에서 그는 “보안을 제대로 잡기란 정말 어려운 문제다. 전문 지식뿐 아니라, 시간까지 필요한 과정이기 때문이다. 이에 더해 사용자들마저 보안 시스템 및 스마트 기구의 구매 과정에서 이 문제를 그다지 신경쓰지 않는다. 기업의 입장에선 자신들이 앞장서 보안을 다룰 동기가 없는 것이다”라고 설명했다.


X