<그림 1> 개인ㆍ가정용 사물인터넷 제품
<그림2> 원격에서 해킹당한 지프 체로키
<그림 3> 여수 버스정류장 음란동영상 뉴스 캡처
즉 해외 IP를 통해 해당 단말기에 접속한 범행자가 단말기의 인증 절차를 우회한 뒤 동영상 재생 프로그램을 설치하여 동영상을 반복 재생했다는 것이다. 이러한 시스템 및 네트워크 구성은 최근 인천공항, 강남역, 방송사 등 대중이 많이 보는 곳에서 화려하게 정보를 전달하는 디지털 사이니지(Sinage)와 유사하다. 위 세 가지 경로로 이와 비슷한 사고가 발생할 가능성이 있어서 제조업체, 시스템 통합업체, 서비스 운영업체 등 디지털 사이니지 관련 업계에서 이에 대해 만반의 준비를 갖춰야 할 것으로 보인다.
잘 알려진 IoT 플랫폼인 SmartThings에서도 보안취약점이 있었다. 미국 미시건대학팀은 자신들의 연구에서 SmartThings에 (1) 도어락 코드를 은밀히 심을 수 있고 (2) 현 도어락 코드를 훔칠 수 있으며 (3) 가정의 휴가 코드를 무력화할 수 있고 (4) 화재 경보를 위조할 수 있는 취약점이 있음을 개념증명 코드로 입증하였다(E. Fernandes et al., “Security Analysis of Emerging Smart Home Applications”, 2016).
<그림 4> SmartThings 아키텍처 개요
출처 : E. Fernandes et al., “Security Analysis of Emerging Smart Home Applications”, 2016
이것은 첫째, SmartThings가 기본적으로 권한 분리 모델(Privilege separation model)을 구현하여 그것을 이용하는 응용 앱들의 권한을 제한하였으나 그것이 충분히 세분화되어 있지 않아 결과적으로 앱이 과도한 권한을 사용할 수 있다는 점, 둘째, 한번 권한을 허용받으면 모든 이벤트를 읽을 수 있고, 이벤트를 위조할 수 있는 등 중요 정보가 오가는 이벤트 하위시스템에 보안취약점이 있기 때문에 발생하는 것으로 분석됐다. 이러한 IoT 플랫폼의 보안취약점은 그것을 기반으로 개발되는 모든 제품과 스마트폰 앱에서 발생할 수 있고, 그 피해가 IoT 제품을 이용하는 가정에 고스란히 돌아간다는 점에서 큰 위험이 아닐 수 없다(여기서는 주로 개인ㆍ가정용 IoT 제품의 문제만 다뤘다. 산업용 IoT 제품의 보안위험은 다른 차원의 문제를 가져올 수 있다).
이를 종합해 보면 IoT 제품에서의 보안 문제는 다음과 같은 특징이 있음을 알 수 있다.
첫째, IoT 제품의 보안취약점이 이용자의 생명과 재산의 안전 문제로 이어질 수 있다는 점이다. IoT 제품은 사이버 세계와 물리적 세계 사이의 '다리' 역할을 하고 있기 때문에 사이버상의 '보안' 문제가 현실 세계의 '안전' 문제로 나타날 수 있다. 기존 인터넷 및 모바일 시대에도 개인의 거주지나 개인 식별정보가 그 사람의 생명과 재산에 해를 끼칠 수 있다는 점이 지적되면서 개인정보 보호의 중요성이 강조되었으나, 사물인터넷에서는 발생 가능성이나 피해 규모가 훨씬 클 것으로 보인다.
둘째, 24시간 365일 이용자와 밀착해 있는 개인ㆍ가정용 IoT 제품은 제품에 따라 이용자의 신체정보나 행위정보, 가정정보 등 프라이버시 데이터를 끊임없이 모니터링, 수집하여 클라우드로 전송하고, 그 현황이나 분석결과를 이용자가 열람하도록 구성되어 있다. 이용자가 입력한 데이터를 사업자가 이용하는 기존 환경과는 달리 사물인터넷에서는 제품에서 이용자를 모니터링하여 지속적으로 수집한다는 점에서 수집된 프라이버시 데이터의 양이나 질이 차원을 달리할 것이기 때문에 데이터 유출 사고가 발생할 경우 피해 또한 현재와는 비교가 되지 않을 것으로 예상된다.
셋째, 리콜에 따른 IoT 제품 제조업체의 경제적 피해가 클 수 있다는 점이다. IoT 제품은 펌웨어로 기능이 구현되어 있는 경우가 많은데, FOTA(Firmware Over The Air) 같은 원격 패치 기능과 업데이트 인프라가 구축되어 있지 않다면 결국 리콜이 발생해 막대한 피해를 볼 수 있다. 제조업체에서는 가능하면 원격 패치가 가능하도록 제품을 구성해야 하고, 그렇지 않은 부분이 있다면 기존 서비스센터와 연계하여 부품교체나 패치를 효율적으로 처리할 수 있는 방안을 강구해 놓아야 할 것으로 판단된다.
*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr