사물인터넷 과연 안전한가?

이미지: Samsung Tomorrow/Flickr

최근 연구를 통해 근래 사물인터넷 기기 해킹사례가 지나치게 많아졌으며

앞으로의 사고를 조심해야 한다는 내용의 경고가 제기되고 있다.

 

2009년 이래 인터넷에 연결된 기기는 그러한 기기를 사용하는 사람보다도 많아졌다. 하지만 사물인터넷에 연결된 기기가 과연 안전한지에 대해서는 의구심이 생기고 있다.

 

2015년 8월 라스베가스에서 독립보안평가협회(Independent Security Evaluators, ISE)가 주최한 IOT Village 세션의 연례 DefCon 보안컨퍼런스를 통해 스마트냉장고에 대한 해킹이 시연된 바 있다. 이에 관여한 연구자그룹에 따르면 중간자공격이라는 해킹 수법을 통해 삼성 스마트냉장고에 침투할 경우 사용자의 이메일을 읽을 수 있으며 심지어는 비밀번호까지 재설정하거나 사용자의 개인정보를 탈취하기까지 할 수 있다고 한다.

 

미국 볼티모어 보안업체의 수석파트너 Ted Harrington은 위와 같은 해킹 시나리오가 사물인터넷 보안문제에서 본질적인 요소가 될 수 있다는 생각을 가지고 이번 시연을 개최했다고 하다. 그는 "인터넷에 연결된 기기에 내재한 보안문제에 어떤 체계적인 구조가 있다는 가정을 검증하고자 했다. 말하자면 특정 제조업체에 국한되지 않고 여러 기기에 보안상 문제가 있는지 알아내고자 했다."고 밝혔다.

 

연구 결과 다른 해킹 사례도 발견됐다. 예를 들어 Philips 아기 영상모니터링의 경우 백도어 계정침투를 통해 해커들이 라이브영상을 볼 수 있었다. 그리고 Smarthings Motion Sensor 보안시스템은 원격으로 작동 해제시켜 감시대상공간에 "안전하게" 침입하도록 할 수 있음이 밝혀졌다. 또한 삼성의 스마트캠(Smartcam) 보안시스템은 임의로 차단되어 실제 사용자의 접근을 막을 수도 있었다. 아울러 Yale과 Smartlock이 각기 출시한 디지털 도어락도 해킹 가능성이 있었다.

 

특히 드론 제조업체 Parrot가 제작하여 인기를 끌고 있는 AR 쿼드콥터 비행드론이 가진 취약성은 DefCon 행사에서 많은 주목을 받았다. ISE 개발자로서 사물인터넷 행사에 관여한 Sam Levin은 다음과 같은 경험을 소개했다. "행사장에서 드론을 가지고 있는 어떤 사람을 만났는데 뭔가 재미난 일이 있어 보였습니다. 그는 노트북을 가지고 명령프롬프트에서 명령을 실행하여 비행 중인 드론을 작동불능 상태로 만들어 버렸으며 그 드론은 그야말로 돌덩이처럼 추락했습니다."

 

보안업체 Pnanet Zuda 창립자이자 정보보안 감사직을 맡고 있는 Ryan Satterfield는 이 문제와 관련하여 Parrot과 접촉하는 데 성공했다. Parrot 측에서는 해당 문제에 대해 패치를 배포했으나 그는 아직 그가 발견한 다른 취약성을 연구 중이라고 한다. 그에 따르면 "미국 연방비행감독국(Federal Aviation Administration, FAA)은 보안문제가 해결되지 않은 비행체를 규제하기 위해 적용할 수 있는 규정을 갖추고 있으나 아직 드론에는 적용한 적이 없다. FAA가 비행안전에 적용하는 수준의 엄격한 기준을 드론안전에도 적용함으로써 제조업체 측에서 보다 안전한 제품을 제작할 동기를 부여했으면 하는 바람이다."

 

Harrington은 정부와 제조업체가 인터넷연결 기기를 생산하는 방식을 제대로 규율하지 않는다면 국가적으로 보안이 돌이킬 수 없는 지경에 이를지 모른다고 우려했다. "2020년이 되면 인터넷연결 기기는 500억 대에 달할 전망이며 이는 가히 천문학적인 수치다. 현재로써는 사물인터넷의 위험이 걱정되는 소비자라면 구매하지 않는 방향을 선택할 수 있지만 가까운 미래에는 이러한 선택의 여지조차 없어질지도 모른다."

 

Jeep and Dodge 차량의 경우 내장된 LTE 휴대폰 연결을 통해 해킹될 수 있음이 연구를 통해 밝혀졌음에도 업체 측에서는 해당 기능을 탑재한 차량을 추가로 출시할 계획이라고 한다. 2015년 9월 GM CEO Mary Barra는 미국에는 이미 GM이 제작한 인터넷연결 차량이 백만 대에 달하며 이는 경쟁업체를 훨씬 앞서는 수치라고 했다. Harrington은 "인터넷연결 기능이 없는 신차를 구입할 여지가 없을 시기는 그리 멀지 않았다고 본다."는 견해를 피력하기도 했다.

 

비밀번호 및 데이터 관리업체 Keeper Security에 따르면 "사물인터넷 기기는 애초 시장에 빨리 진출하기 위해 보안보다는 편의를 위주로 설계됐다." 회사는 2015년 6월 발행한 시각자료(infographic)를 통해 사물인터넷의 부상하고 이에 따른 보안위험의 발생을 소개했다.

 

 

 

Zhanna Lyasota, Do You Still Think Using the Internet of Things is Secure?, 10. 19. 2015.

http://www.coinspeaker.com/2015/10/19/should-you-take-the-internet-of-things-and-the-lack-of-security-more-seriously-12424/