엘리베이터가 멈췄다?··· 스마트 빌딩 해킹 대응법

2018.09.07 J.M. Porup | CSO

막 커피를 타서 사무실로 돌아왔는데, 갑자기 어디선가 서늘한 에어컨 바람이 불어온다. ‘어, 이상하다? 누가 이 날씨에 에어컨을 켰지?’ 대수롭지 않게 여기며 계속 커피를 마시는데 이번엔 어디선가 '끼이익' 소리가 들려온다. ‘파이프에서는 저런 소리가 안 날 텐데?’ 그 순간 갑자기 형광등이 깜빡이더니 이내 불이 나가 버리고 만다. 사무실에는 정적이 흐른다.

이때 울려 퍼지는 다급한 비명. 사무실에 있는 직원이 일제히 엘리베이터로 달려갔지만 문이 닫히고 열리기만 반복할 뿐 꿈쩍도 하지 않는다. 동네 꼬마들은 이 건물을 가리키며 ‘저기에 귀신이 산다’라고 말할 것이다. 싸구려 저 예산 헐리우드 영화가 아니다. 건물 보안이 부재한 상황에서 벌어질 수 있는 가상의 장면이다.

빌딩도 해킹의 대상이 될 수 있지만 아직도 많은 기업이 그 리스크를 줄일 방법을 생각조차 하지 않고 있다. 설상가상으로, 단지 관리가 편리하다는 이유로 사이버 보안과 물리 보안을 통합하는 것은 서로에게 책임을 떠넘기겠다는 이야기밖에 안 된다. 이제라도 스마트 빌딩의 보안 리스크를 점검, 평가하는 방법을 찾아보자. 호주의 에디스 코완 대학(Edith Cowan University) 연구팀이 내놓은 스마트 빌딩 보안 가이드라인을 중심으로 살펴보자.

건물 자동화 및 통제 시스템의 정의
건물 자동화 및 통제 시스템(Building Automation and Control System, BACS)은 지능적 빌딩 관리 시스템(IBMS)이라고도 부른다. 건물의 에어 컨디셔닝과 난방, 냉방, 조명, 엘리베이터, 화재 진압, 보안 카메라 등을 매우 정밀하게 제어할 수 있다. 이른바 ‘스마트 빌딩'은 에너지 효율성이 매우 높고, 인간의 수작업 상당 부분을 자동화했기 때문에 재정적으로 매우 효율적이다.

스마트 빌딩은 연 15~34%의 높은 성장률을 기록하고 있다. BACS 시장 역시 2022년이면 그 규모가 1,040억 달러에 이를 것으로 전망된다. 이처럼 건물을 하나의 마치 사물인터넷(IoT) 토스터처럼 만드는 것도 나름의 의미는 있다. 그러나 관리자가 간과하는 것이 하나 있다. 바로 보안이다. 스마트 빌딩은 본질적으로 인터넷에 연결된 건물이다. 쇼단(Shodan)에서도 스마트 빌딩을 바로 찾을 수 있다. 따라서 스마트 빌딩 보안을 소홀히 하면 그 피해는 토스트가 조금 타는 정도에서 그치지는 않는다. 기업의 핵심 인프라는 물론 그 기업의 평판까지 잃을 수 있다.

쇼단에서 검색해 본 스마트 빌딩
스마트 빌딩 시스템을 모니터링하는 것은 대개 사람 노동자, 그중에서도 저임금을 받는 보안 스태프다. 접근 통제를 위해 윈도우 데스크톱과 웹 애플리케이션을 활용한다. 스마트 빌딩의 보안에 있어서 엔드포인트 및 웹 서버 보안이 중요한 이유다. 머큐리 ISS의 컨설턴트이자 보안 전문가 에드 퍼렐은 “현대의 건축물은 대부분 HTTP 인터페이스를 사용한다. 관리를 쉽게 하기 위한 선택인데, 동시에 이 HTTP 인터페이스가 스마트 빌딩을 모든 이에게 액세스할 수 있게 만들었다. 그만큼 해킹도 쉬워졌다”라고 말했다.

실제로 쇼단에서 ‘델타웹(deltaweb),’ ‘나이아가라(Niagara)’ 그리고 ‘port=47808’ 같은 검색어를 조금만 찾아보면 수많은 스마트 빌딩 공용 웹 로그인 페이지가 나타난다. 이중에는 텔넷을 활성화해 놓은 경우도 있다. 실제로 2012년 보안 전문가 빌리 리오스와 테리 맥코르클은 트리디움(Tridium)의 나이아가라 AX 프레임워크의 치명적 결함을 발견했다. 나이아가라 AX 프레임워크는 건물 자동화 및 통제 시스템에 널리 사용된다. 두 사람은 그다지 복잡하지도 않은 테크닉을 사용해 사용자명과 암호를 빼냈고, 결국 트리디움은 긴급 패치를 배포했다.

이러한 웹 서버와 여기에 연결된 데스크톱의 보안을 책임지는 것은 누가 뭐래도 보안 엔지니어다. 하지만 상황은 생각보다 복잡하다. 정보 보안과 물리적 보안이 서로에게 영향을 미치고 있으며, 해킹 정보 시스템을 이용한 해커가 건물에 물리적으로 잠입하는 것도 가능해졌다. 물론 이러한 물리적 잠입 이후에는 기업의 핵심 정보 시스템에 침투하려 할 것이다. 이처럼 고층 건물의 정보 보안과 물리적 보안이 온통 뒤섞인 상황에서 보안 문제에 대한 책임과 통제권은 과연 누구에게 부여 해야 할까?

스마트 빌딩을 안전하게 지키는 방법
이런 논의에 있어 제로 데이 공격은 잠시 잊어도 좋다. 스마트 빌딩 보안을 위협하는 가장 큰 문제는 책임 전가다. 정보 보안, 물리적 보안, 그리고 시설 관리는 서로 각기 독립적인 보안 분야다. 건물 보안 측면에서는 셋 다 나름의 중요성과 비중을 차지하고 있다. 설상가상으로 여러 세대가 입주해 있는 고층 건물은 서드 파티 인티그레이터(integrator)가 시설물 소유주를 대신해 빌딩을 관리한다. 건물 세입자마다 각기 다른 보안 요구를 가지고 있다. 예컨대 10층에 입주한 정부 기관의 보안 요건과 다른 층에 입주한 상설 매장의 보안 요구는 다를 수밖에 없다. 따라서 우리 기업만의 특수한 보안상의 요구나 요건이 있다면, 건물을 임대할 때 반드시 이를 먼저 협의해야 한다.

물리적 보안과 정보 보안을 통합시킨 현대의 ‘스마트’ 빌딩은 보안 엔지니어와 물리적 보안 팀, 그리고 시설 관리자 간의 더 긴밀한 협력이 필요하다. 따라서 호주의 에디스 코완 대학 연구팀은, 보안 문제에 있어 최종적 책임을 질 고위 임원이 있어야 한다고 지적했다. 에디스 코완 대학 보안 과학부 수석 연구원인 데이브 브룩스는 “기업 관점에서 건물 보안에 가장 필요한 것은 단순히 건물 시스템을 이용하는 것이 아니라 전체 시스템을 총괄하고, 관리하며 책임질 사람을 임명하는 것이다. 이를 위해서는 모든 이해관계자를 포함해 조직간 작업 그룹을 만들고 건물 보안에 협력해야 한다”라고 말했다.

중간급 관리자와 더 많이 만나야 한다는 말이 달갑지 않게 들릴 수도 있다. 그러나 현대식 고층 건축물 보안이라는 고도로 복잡하고 어려운 과제를 위해서는 작업 그룹을 조직하는 것이 최선이다. 퍼렐은 “오늘날 건물 보안에 있어서 가장 큰 문제는 그 누구도 이것을 자기 일로 생각하지 않는다는 것이다. 자기 책임이 아니라고 생각하기 때문이다. 타조처럼 모래 속에 머리를 파묻고 ‘눈에 안 보이면 (문제가) 없는 것’이라 생각하려는 사람이 많다”라고 말했다.

그는 “보안 엔지니어만으로는 이 문제를 해결할 수 없다. 사이버 보안은 디지털 보안과 물리적 보안, 그리고 소셜 엔지니어링 보안의 교차점이다. 건물 자동화 및 통제 시스템은 이러한 보안에서 사람이 가장 많이 간과하는 부분이다”라고 말했다.

---------------------------------------------------------------
감시카메라 인기기사
-> 'CCTV는 진화 중' 감시 카메라 분야의 5가지 혁신
-> 오, 놀라워라! 클라우드 기술의 6가지 발전
-> 미래형 감시 로봇의 5가지 재주
-> 논란의 웹캠 엿보기 웹사이트 개발자, 새 일거리 모색 중
-> '사물 인터넷의 그림자' 보안 위협에 노출되는 스마트 빌딩
---------------------------------------------------------------

스마트 빌딩의 보안 체크리스트
그렇다면 기업이 직면한 리스크를 식별, 평가할 수 있도록 매니저를 보조하고, 이러한 리스크를 줄이기 위한 구체적 단계를 살펴보자. 역시 에디스 코완 대학의 가이드를 기준으로 한다. 현대식 스마트 빌딩은 매우 복잡한 구조로 돼 있어서 건물 보안에 단순한 기술적 솔루션이 아니라 매니징 솔루션이 필요하다. 복잡하게 얽혀 있는 물리적 보안과 정보 보안을 풀어헤친 후 재조합하기 위해 필수적이다.

에디스 코완 대학의 브룩스는 이 가이드가 “조직 전반에 걸쳐 ‘올바른 질문’을 던질 수 있도록 도와주는 거버넌스 툴이 될 것이다. 이 가이드의 원래 목적은 사람이 질문을 던지도록 하는 것이다. 이 모든 질문에 혼자 답할 수 있는 사람은 없으므로 다른 부처와 의논해 함께 답을 찾아야 한다”라고 말했다. 이것은 버그가 아니라 기능이다. 그동안 고립돼 혼자 문제를 해결했던 부서가 서로 협력해 스마트 빌딩 보안을 관리하게 된다.

에디스 코완 대학이 발표한 이번 가이드는 각 기업이 자신만의 위협 모델을 설립할 수 있도록 도와준다. 예컨대 인명이 달린 중요한 시설물을 관리하는 보안 모델은 별다른 영향력이 없는 시설물의 보안 모델이 더 엄격하고 까다로워야 한다. 일단 조직에 맞는 위협 모델을 만들고 나면 리스크를 줄이기 위한 제대로 된 과정과 절차가 마련되어 있는지를 확인해야 한다. 보안은 ‘결과’가 아니라 ‘과정’이라는 말도 있듯이 말이다. 특히 이 가이드는 컴퓨터 코드가 아니라 인적 요소에 더 초점을 맞추고 있다.

마지막으로, 이 글 첫머리에서 언급한 ‘귀신 들린 건물’이 현실이 될 수 있는지 전문가에게 물었다. 퍼렐은 회의적이라고 전망했다. 그는 “설사 이런 일이 있다고 해서 얼마나 심각한 피해를 줄 수 있겠는가? 그런 장난을 해 봤자 실질적인 피해보다는 회사의 평판에 조금 영향을 미칠 뿐이다. 리스크가 존재하는 것은 사실이지만, 그렇다고 해서 너무 부풀릴 필요도 없다. 언제나 공격의 위험은 더 과장돼 보이게 마련이다”라고 말했다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기

해킹 스마트빌딩 BACS

“유료 VPN, 분명한 가치 있다” VPN 선택 가이드

VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.

평점 - 댓글 -개

평점