비단 사물인터넷 뿐만이 아니라, 기존의 컴퓨터, 스마트폰 환경에서도 보안 이슈는 지속적으로 발생해 왔었기 때문에 “보안문제가 있으니 사물인터넷 세상으로 넘어가는 속도를 줄이자”는 말은 어불성설처럼 들릴지도 모르겠다. 하지만 사물인터넷에 있어서 보안이슈는 산업의 근간을 흔들 만큼 중요한 문제이다. 개인정보유출과 같은 문제도 기존의 수준과 심각성을 훨씬 상회할 것이다. 기존의 정보유출은 사용자가 먼저 정보를 제공하지 않으면, 즉 인터넷 공간이라든지, 컴퓨터에 정보를 저장하지 않으면 유출될 것이 없었다. 하지만 사물인터넷 환경에선 센싱된 정보를 하이재킹하면 사용자가 제공하지 않은 정보들도 누군가에 의해 수집될 수 있다. 예컨대 지금 상용화돼 있는 홈 CCTV는 사용자들이 외부에서도 실시간으로 집안을 확인하고 싶어 하기 때문에, 대부분의 제품이 인터넷에 연결돼있다. 만약 해커가 이 CCTV 화면을 하이재킹 한다면 실내의 상황을 가택침입 없이도 얼마든지 확인 할 수 있다. 이 자체만으로도 불법이지만, 이는 자칫 더 큰 범죄에 악용될 소지가 있다. 이번 달엔 이렇게 우리의 실생활과 부쩍 가까워진 사물인터넷의 보안 이슈를 점검하고, 사물인터넷 보안의 현시점과 미래에 대해 논해보고자 한다.
어둠의 구글, 쇼단(Shodan)
앞서 서문에서 예시한 바대로 CCTV를 하이재킹 하는 것이 과연 가능할까? 만약 가능하다면 어떻게 인터넷이 연결된 사물에 접근할 수 있을까? 그 물음에 대한 답은 쇼단(Shodan)에 있다.
쇼단은 서버, 웹캠, CCTV, 프린터, 라우터, 홈오토메이션 등 인터넷에 연결된 모든 것들의 백도어를 찾아내는 검색엔진이다. 쇼단에서 수집한 정보를 악용할 경우 즉각적으로 현실세계에 막대한 혼란을 야기할 수 있기 때문에, CNN은 세상에서 가장 가공할만한 엔진으로 구글 대신 쇼단을 꼽았다.
쇼단은 지금도 인터넷에 새롭게 연결되는 디바이스와 서비스에 대한 정보를 매달 5억 개 이상 수집하고 있으며, 그 위험성 때문에 계정이 없는 이용자에겐 10개의 검색결과를, 계정을 가진 이용자에겐 50개의 검색결과만을 제공하고 있다. 하지만 검색결과는 국가와 호스트명, net, OS, Port 등의 필터를 통해 구체화 될 수 있어 표적을 삼는 곳의 정보를 검색해내는 것이 불가능하지만은 않다.
충분히 악용될만한 소지가 있는 정보를 제공함에도 불구하고 의외로 쇼단은 불법이 아닌 합법적인검색 서비스다. 쇼단 사이트에 누구든 접속할 수 있으며, 간단한 검색만으로 원하는 결과물을 얻어낼 수 있다. 실제로 쇼단의 인기 검색어에는 웹캠(Webcam)과, 넷캠(Netcam)이 검색 순위의 최상단에 위치해 있는데, 이를 통해 쇼단이 이미 사생활침해범죄의 도구로 악용되고 있음을 추측할 수 있다.
특히나 요즘 스마트 가전에 CCTV 기능을 추가하는 디바이스들이 많은 데 냉장고에 설치된 CCTV라면 기껏해야 사용자의 채소 칸을 훔쳐 볼 수 있겠지만, 로봇청소기의 CCTV 화면이 하이재킹 될 경우 사용자가 모르는 사이 지구 반대편의 누군가가 사용자의 사생활을 관음 하는 것이 가능하다.한 번도 가본 적 없는 국가의 일면식이 없는 사람일지라도, 쇼단을 통해 스토킹 할 수 있다는 것이다.
▲쇼단에 ‘Samsung’을 검색하자 국내 D대학교에서 사용 중인 삼성전자 CLP-680 프린터의 서버가 검색된다. 쇼단 검색엔진을 이용하다 보면 실제로 워터파크, 화장장, 병원 등의 제어 시스템을 찾아 낼 수 있다.
문제는 이 뿐만이 아니다. 쇼단을 이용한 개인의 사생활 침해도 물론 심각한 보안 이슈이지만, 쇼단은 국가 안보와 직결될만한 문제를 가지고 있다.
쇼단이 제공하는 모든 검색 결과를 보기 위해서는 쇼단의 창업자 존 메테리(John Matherly)에게 검색 결과를 얻고자 하는 목적에 대한 보고서를 제출해야 한다. 물론 추가의 비용이 발생한다. 보안 전문가, 학계 연구원, 침입 탐지 테스터들 그리고 사법기관이 쇼단의 주요 고객이다. 이들은 쇼단을 이용해 핵발전소와 입자가속기의 명령 및 제어 시스템의 위치까지도 찾아내고 있다고 한다.
▲ 쇼단의 창업자 존 메테리의 트위터다. 쇼단의 메인페이지에서 그의 트위터 계정으로 한 번에 들어갈 수 있다. 그 또 한 쇼단이 나쁜 의도로 악용될 수 있음을 인정하고 있다.
핵발전소와 같은 국가 주요 기반시설에 바이러스를 침투시켜 고장을 일으키는 것은 공상과학영화에서나 가능한 일이라고 생각하는 사람들도 있을 것이다. 하지만 이것은 단순한 가상적 시나리오가 아니며 이미 막대한 피해를 야기한 실제 사례가 존재한다.
그 대표적인 예가 스턱스넷(Stuxnet) 웜바이러스이다. 스턱스넷은 핵 발전시설의 고장을 목표로 설계된 바이러스다. 이 바이러스는 2010년 이란 핵 발전시설의 제어 SW에 침투해 원심분리기 회전수를 주기적으로 1,410Hz, 2Hz, 1,640Hz로 변경하는 방법으로 과부하를 일으켜 핵 농축 원심 분리기의 기계고장을 발생시켰다. 이는 기존의 바이러스와는 달리 물리 시스템의 특성을 활용한 사이버-물리 융합 공격을 성공시킨 사례이며, 이러한 바이러스는 사이버 보안만으로는 감지하기가 매우 어렵다.
물론 이 정도의 바이러스를 설계할 수 있는 기술자라면 굳이 쇼단을 이용하지 않더라도 기반시설에 접근할 수 있을 것이다. 하지만 쇼단이 그러한 접근에 쉽고 빠른 길을 제공한다는 것은 부인할 수 없는 사실이다.
쇼단을 이용하는 보안업체들 부펜(Vupen)과 리번(ReVuln)
부펜(Vupen)은 보안 취약점을 연구하는 프랑스의 보안 솔루션 업체다. 그들은 쇼단을 이용해 상용화된 많은 IoT 산업 솔루션의 보안 취약점을 알아낸다. 그렇게 파악된 연구 결과는 민간고객이나 정부기관에 공개적으로 판매하고 있다. 가입형 서비스를 제공받는 선별된 고객들만이 이들의 정보를 알 수 있으며, 다른 써드 파티가 문제를 발견하거나 해당 개발 업체가 문제를 패치하지 않는 이상 먼저 시장에 정보를 공개하지 않는다.
반면 리번(ReVuln)은 부펜보다 좀 더 공격적인 비즈니스를 하는 미국의 보안업체이다. 이들은 쇼단을 통해 외부에 노출돼있는 산업설비 제어 소프트웨어(SCADA, Supervisory Control And Data Acquisition)의 약점을 찾아내 원격 침투한다. 이 때 리번의 연구원들은 공격을 받는 SCADA 소프트웨어에 임의의 코드를 실행하고, 임의의 파일을 다운로드하며, 명령을 실행하고, 시스템 세션을 가로챌 수 있다. 물론 산업 솔루션 프로그램의 보안 맹점을 찾는 것이 이들의 목적이기 때문에 해당 기업에 직접적인 피해를 입히진 않는다. 그렇게 획득한 취약점들의 결과를 해당 솔루션 업체에 알려주면 좋으련만, 이러한 보안 취약점에 대한 정보는 어떻게 사용되든지, 또 누가 됐든지 돈을 지불하는 쪽으로 제공한다.
이들 두 기업이 보안상 취약점을 발견했다고 하는 회사목록엔 굴지의 SCADA 소프트웨어 벤더들이 포함돼있다. GE, 이튼(Eaton), 슈나이더 일렉트릭(Schneider Electric), 카스카드(Kaskad), 지멘스 등이 바로 그 기업들이다.
그러나 이들의 비즈니스는 부도덕하다 손가락질 받을 순 있어도, (아직까진)불법적인 것은 아니다. 현재 보안 취약점을 어떻게 처리할지에 대한 법적인 규제가 없기 때문이다. 보안 취약점을 공표하든, 혼자서 보관하든, 민간에 팔든 현재로선 그것은 발견자의 의향에 따라 처리될 뿐이다. 그리고 이러한 거래를 주요 수입원으로 삼는 이들 두 업체가 특별하다고 볼 수도 없다. 위와 같은 보안 취약점을 정부나 민간에 은밀하게 거래하는 일은 보안시장의 공공연한 비밀이기 때문이다. 하루라도 빨리 이와 관련한 법제도를 마련하여 이를 양성화하려는 노력이 필요하다.
IoT 보안 취약성 이슈 대두
최근 들어 인터넷이 탑재되고 있는 사물(프린터, TV, 각종 웨어러블 기기 등)들의 연산능력은 컴퓨터의 그것과는 비교가 안 될 정도로 떨어진다. 그래서 기존 PC환경에 맞춰 설계된 많은 보안 플랫폼은 사실상 무용지물에 가깝다. 달리 말하자면 사물인터넷의 보안 수준은 초기 단계라 할 수 있으며, 많은 디바이스들이 어떠한 보안 솔루션도 갖추지 못한 채 공격에 무방비로 노출돼있는 상태이다.
사물인터넷의 단말(센서, CCTV 등)은 패스워드 정도의 낮은 보안수준만 적용된 것이 대부분이기 때문에 해킹에 취약하다. 멀리서 생각할 것도 없이, 당장 사무실에서 사용하는 네트워크와 연결된 프린터나 NAS와도 같은 디바이스의 암호를 생각해 보자. 아이디는 ‘admin’일 것이고 비밀번호는 ‘1234’ 혹은 ‘0000’이 많을 것이다. 위의 값으로 쇼단에서 디폴트 패스워드 필터로 빠른 검색을 하면 수많은 프린터, 서버, 시스템 컨트롤 디바이스들이 검색된다. 이렇게 검색된 디바이스들은 언제든 해커의 손에 놀아날 수 있다. 보안소프트웨어기업 시만텍(Symantec)이 2014년 주목해야할 보안시장 트렌드로 ‘사물인터넷의 보안 취약성 대두’를 꼽았을 만큼 사물인터넷의 보안 확보는 시급하고도 중요한 이슈다.
IoT 디바이스 보안의 기본은 ‘암호화’
공급받을 수 있는 컴퓨팅 전원이 약하고 연산능력이 떨어지는 IoT 디바이스는 ‘암호화’를 보안 방법으로 사용하는 경우가 많다. 그러나 기존의 PC환경에서 사용되던 암호화 알고리즘은 연산이 너무 복잡하고 무거워서 이를 컴퓨팅 전원이 약한 소형 단말기에서 구현할 수 없다. ‘암호화’라는 작업 자체가 배터리 소모가 상당히 일어나는 작업이기 때문이다. 이러한 제약들 때문에 사물인터넷 환경에서 소프트웨어적인 방법으론 처리하기 힘든 암호화 작업을 하드웨어에서 처리하는 방식으로 바꿨다. 그것이 바로 ‘보안 칩셋’이다. 보안칩셋은 암호화 알고리즘을 구동하는 칩셋으로 이미 시장에 많이 나와 있으며, 현재 시스템을 관장하는 임베디드칩과 보안칩셋을 일원화 한 제품도 있다.
사물인터넷 시대, ‘융합보안’이 필요하다
▲ 소비자의 편의를 위한 기능들이 차량 탈취에 이용될 수 있음을 경고하고 있다. (출처: //www.caranddriver.com/features/can-your-car-be-hacked-feature)
융합보안이란 정보보안과 물리보안간의 융합, 혹은 보안기술이 IT융합산업에 적용돼 창출되는 제품 및 서비스를 지칭한다(E-KIET산업경제정보 제 586호, 2014). 정보보안은 컴퓨터 또는 네트워크상의 정보의 훼손, 변조, 유출 등을 방지하기 위한 보안제품 및 서비스를 지칭하며, 물리보안이란 주요 시설의 안전한 운영과 재난?재해, 범죄 등의 방지를 위한 보안제품 및 서비스를 일컫는다.
이것이 왜 사물인터넷에 필요할까? 사물인터넷 산업의 중요한 축으로 떠오르고 있는 스마트카의 경우로 예를 들어보자. 기존의 차를 도난당하지 않기 위한 방법은 안전한 주차장에 차를 세우고, 창문을 끝까지 올리고, 차키의 분실을 주의하는 등 물리보안에 치중해 있었다. 하지만 이젠 이러한 노력들만으론 차를 안전하게 지켜낼 수 없다.
2013년 8월 해커 콘퍼런스에서는 닌텐도의 휴대용 게임기로 2010년형 도요타 프리우스와 포드 에스케이프를 해킹하는 시범을 보인 사례가 있었다. 자고 일어나보니, 차가 제 발로 없어지는 황당한 사태가 사물인터넷 시대에는 실제로 벌어질 수 있다는 이야기다. 이는 도요타나 포드의 최신 차를 몰지 않는 원시적인 방법으로는 해결할 수 없다. 이미 우리나라에서도 2013년 10월 고려대 정보보호대학원 보안연구실과 보안업체 에스이웍스가 스마트폰으로 국내 자동차 3종에 대한 해킹을 시연한 바 있으며, 단순한 시연을 넘어서 2010년 텍사스 주에서 차 내비게이션을 해킹해 100여대의 엔진과 경적을 마비시킨 사건, 2013년 6월 캘리포니아 주에서 스마트키를 해킹해 차문을 열고 물건을 훔친 실제 범죄도 이미 일어난 바 있다.
사물인터넷 시대는 보안사고가 단순히 사이버 상에 머물지 않고 물리적인 방법으로도 나타나게 된다. 보안사고가 스마트 그리드 영역에서 일어나면 도시 전체가 정전될 수 있으며, 스마트 홈에서 나타나면 TV와 냉장고가 제멋대로 작동하는 결과를 낳을 수 있다. 특히나 스마트 그리드 영역의 대규모 정전사태는 지금으로서도 충분히 현실화 될 수 있다. ‘블랙햇 보안 컨퍼런스 2009’에서 보안 업체인 아이오액티브는 해커가 스마트 그리드로 연결된 전기 계량기 한 곳에 침투해 컴퓨터 바이러스를 심고, 다른 계량기로 전파시켜 건물 전체의 모든 스마트 계량기를 조종하면서 전기 공급을 끊거나 과부하를 일으켜 도시 전체를 정전시킬 수 있음을 보였다.
이러한 피해는 현재로선 많지 않지만 향후 발생 시 기존의 정보보안 피해보다 광범위할 것이며, 피해규모 역시 대폭 증가할 것이다. 국내 융합보안 피해를 GDP규모 및 인터넷 보급률을 기초로 대략적으로 추정하였을 때 2015년 13조 4000억 원, 2020년 17조 7000억 원, 2030년 26조 7000억 원 정도로 예상하고 있으며 국가 신용도 하락, 2차 피해 등을 고려하면 피해규모는 이것을 훨씬 상회할것으로 추측된다(CSIS-McAfee, The economic impact of cybercrime and cyber espionage, 2013). 사물인터넷 시대에 융합보안이 필요한 이유다.
이제 융합보안의 구심점을 만들어야 할 때
사물인터넷 선진국들은 이미 융합보안을 포함한 지식정보보안 관련 규제와 지원을 추진 중에 있다. 이를 위해 통합적인 조직체계 또한 갖추고 있는데, 안타깝게도 우리나라는 융합보안을 위한 구심점이 없이 부처별 보안 관련 조직이 떨어져 있는 상황이다. 국가정보원의 국가사이버안전센터, 한국인터넷진흥원의 인터넷침해사고대응센터, 국군사이버사령부에서 보안관련 업무를 분야별로 담당하고 있다.
미국은 국토안보부법에 의거해 설립된 국가안보부에서 민?관?군을 구별하지 않고 통합적으로 보안문제를 다루고 있으며, EU는 집행위원회의 정보사회 미디어국과, 유럽네트워크 정보보안청이 사이버 보안과 관련한 역할을 주도적으로 수행하고 있고, 일본은 내각관방 정보보안센터(NISC)를 설치해 정보보안 정책을 총괄하고 있다.
우리나라는 이에 해당하는 지식정보보안 총괄기관이 없다. 국가적인 중요 사이버사고가 발생하면 국가정보원, 국방부, 미래부 등 범정부 차원에서 ‘민?관?군 합동대응팀’을 임시 소집해 대응하고 있긴 하지만, 이렇게 분산돼있는 정보보안 분야의 관리?감독 체계를 일원화 하지 않으면 복합적 보안사고가 발생할 때 기관 간의 정책 혼선이 빚어질 수 있으며, 또한 이러한 임시기구로는 멀리 내다보는 체계적인 보안 계획을 수립할 수가 없다. 다가올 사물인터넷 시대의 보안 사고는 더욱 복잡한 양상을 띠게 된다. 한 시라도 빨리 관련 부처를 신설해 이러한 보안 이슈에 일원화 된 대응을 할 수 있어야 한다.
턱 밑의 칼, 사물인터넷 보안
사물인터넷은 분명 우리에게 편리한 삶을 제공할 것이며 점차 우리의 삶과 밀접하게 연관돼 가겠지만, 그러면 그럴수록 보안문제는 더 심각해 질 것이다. 미국의 솔루션 기업 시스코는 2020년까지 약 500억 개의 사물이 인터넷에 연결될 것이라고 내다보고 있는데, 문제는 이러한 인터넷 연결기기 가운데 보안기능을 내장한 디바이스가 매우 소수라는 데 있다. 쇼단이 맹위를 떨칠 수 있는 이유도 바로 여기에 있다. 현재 보안 연구원들은 커넥티드 디바이스와 관련한 위협을 방지하는 최선의 방법으로 아예 디바이스를 인터넷에 노출시키지 말 것을 권장하고 있다. 또 피치 못하게 사물을 인터넷에 연결하여야 한다면 반드시 후방에 믿을만한 보안 솔루션을 배치할 것을 주문하고 있다.
지금까지의 대한민국의 IT산업 발전 성향과 형태를 미루어 추측컨대, 우리는 충분한 고뇌와 사회적인 토론 없이 국가경제와 시장논리를 앞세워 사물인터넷시대 개척의 선봉에 설 것이다. 그리고 언젠가 국가적으로 크게 ‘소를 잃을’ 것이고, 뒤늦게 사고 이전으론 되돌릴 수 없는 ‘외양간 고치기’에 나설 것이다. 이러한 대규모 보안 사고는 한동안 사물인터넷을 포함한 IT산업전반 그리고 국가경제의 발목을 잡을 수 있다. 보안 없는 사물인터넷은 재앙이 될 수 있으며, 바로 지금이 어떠한 기기를 인터넷에 연결하지 않을 것인가에 대해 생각해보고 토론해야 할 때이다.
Smart PC사랑 | 우민지 기자 [email protected]
저작권자 © 디지털포스트(PC사랑) 무단전재 및 재배포 금지