필자는 2014년 초 당시 본격적으로 등장하기 시작했던 사물인터넷을 소개하며 소비자의 일상생활과 기업세계 모두를 변화할 잠재력이 있다고 설명했다. 거의 2년이 지난 현재 사물인터넷은 대세가 됐으나 이제는 냉장고, TV, 온도계, 의료기기, 커피머신, 경보시스템 등 온라인에 연결되어 사용자와 해커 모두 어디에서든 접근 가능한 수많은 전가기기를 둘러싸고 단순히 IP주소가 모자란다는 것보다도 훨씬 중대한 문제가 있다.

 

보통 데스크탑 컴퓨터, 서버, 스마트폰을 언급할 때는 보안을 크게 중시하지만 컴퓨터처럼 생기지 않았음에도 역시 컴퓨터에 해당하는 커넥티드 사물에 대해서는 정작 보안인식이 흐려지는 경향이 있어 보인다. 필자는 최근 사물인터넷의 취약한 보안상황, 이에 대응할 방법, 새로운 커넥티드 기기를 통한 침투로부터 네트워크를 어떻게 보호해야 할지 등에 대해 고민했다.

 

사물인터넷 보안의 기술적인 문제에 대해 더 깊게 알고 싶다면 필자가 조만간 Windowssecurity.com에 게재할 시리즈를 참고해 볼 수 있다. 제목은 "IoT: The Threats Just Keep on Coming"이다. 한편 이 글에서는 사물인터넷에 대한 거시적인 개념을 다루는 한편 사물인터넷이 필자(그리고 이 글을 읽는 당신)의 삶을 긍정적으로 변화시킬 가능성과 네트워크와 데이터에 대한 위험 증가에 대한 개인적인 생각을 소개하고자 한다.

 

사물인터넷은 컴퓨팅 진화의 자연적 산물로서 물리세계와 전자영역이 느리면서도 필연적으로 융합됨에 따른 결과라 할 수 있다. 과거에는 온라인세상과 현실세계가 분리되어 논의됐으나 오늘날 수많은 일상용품이 온라인에 연결됨에 따라 양자 사이의 경계는 나날이 흐려지고 있다. 사물인터넷을 통해 우리는 이러한 설비 및 기기와 원격으로 상호작용하고 언제 어디에서나 이들을 제어할 수 있게 된다.

 

이는 분명 흥미진진한 일이지만 여기에는 아주 성가신 문제가 있다. 제대로 된 보안이 확보되지 못한다면 다른 누군가가 우리의 "사물"을 제어할 수 있게 되며 이들의 행동은 엄청난 손해를 야기할 수 있다. 예를 들어 악의적인 해커가 인슐린 주입기에 접근하여 치명적 결과를 일으킬 수 있는 과량주입을 설정할 수 있는 등 위험이 명백한 경우도 있다. 하지만 위험의 심각성이 불분명할 때도 없지 않다. 장난으로 세탁기의 시간을 바꿔놓는다 해서 사람이 죽거나 하진 않기 때문이다. 하지만 맬웨어를 통해 세탁기에서 온 집안에 물이 넘치게 하거나, 오븐에 점화 없이 가스만 켜거나, 전열기의 회로에 과부하를 걸어 화재가 발생하게 하면 어떻게 되는가? 해커가 차량엔진을 정지시켜 찻길 한복판에서 멈추게 하거나 휴대폰 신호를 교란하여 사용자를 털어버리면 어떻게 되는가? 해커가 "스마트" 차고출입구에 접속하여 디지털 잠금장치를 해킹함으로써 주인이 없는 사이(더욱 심각하게는 주인이 잠든 사이) 집에 침입하면 어떻게 되는가?

 

물론 이렇게 생명이 위협받을 정도의 상황에 직면할 가능성은 높지 않다. 하지만 프라이버시 문제는 어떤가. 사물인터넷이 프라이버시에 어떤 영향을 끼칠 수 있는가. 해커가 민감한 내용의 이메일에 접근하는 경우는 흔히 떠올릴 수 있는 시나리오다. 하지만 만약 해커가 가정에서 일상적으로 가족끼리 말하는 내용을 모두 들을 수 있다면 어떻게 되는가. 만약 베이비시터를 모니터링하기 위해 오디오가 장착된 "보모 카메라"이 있다면 이 또한 해킹될 수 있다. 물론 이러한 해킹은 아기모니터에 국한되지 않고 모든 인터넷연결 카메라에 발생할 수 있다. BlackHat 보안연구진은 2014Nest 온도계를 조작하여 사용자의 냉난방 스케줄을 파악함으로써 범죄자가 집이 비는 시간대를 알아내도록 악용될 수 있음을 시연한 바 있다.

 

하지만 이게 전부가 아니다. 이러한 "사물"이 컴퓨터와 같은 와이파이 네트워크에 연결될 경우 적절한 통제대책이 없는 한 이들 사물은 시스템파일에 접근할 수 있는 진입지점으로 악용될 수 있다. 출처에 따라 다르지만 대체적인 연구에 따르면 인터넷에 연결된 사물의 25% 가량이 안전하지 못하다고 한다. (가트너 분석에 따라) 45억의 사물인터넷 기기가 연결되어 있다고 가정하면 무려 10억이 넘는 기기가 위험하다는 의미다. 게다가 2020년 사물인터넷 기기 250억대 시대가 현실화된다면 그 위험은 현재와 비교할 수 없이 커진다.

 

이에 대해 어떤 행동을 취할지 논의하기 전에 우선 생각해야 할 중요한 문제가 있는데 바로 사물인터넷 기기 보안의 책임이 누구에게 있는가이다. 이는 일견 단순한 문제처럼 보이지만 그렇지 않다. 필자가 위에 언급한 시리즈에서 상세히 다루겠지만 사물인터넷 업체들은 보안 그리고 심지어는 IT 자체에 대한 이해도가 좋지 못하다. 이들은 기기 소프트웨어 대부분을 직접 제작하지 않는다. 이들은 다양한 출처로부터 소프트웨어 구성요소를 끌어온다. 이들에게는 대체로 일반적인 소프트웨어 개발주기, 제품 보안품질보증, 파악된 취약점에 대해 적절한 패치프로세스 등이 전무한 실정이다.

 

수많은 사물인터넷 업체들은 스타트업이기 때문에 예산이 제한되며 시장에 진입하기 위해 기기를 아주 낮은 가격으로 팔 수밖에 없는데 이는 이들이 보안에 많은 돈을 투자하기 어려움을 의미한다. 이들 업체는 상당수가 부도에 빠지며 이로 인해 이미 판매된 "사물"들은 관리가 중단되면서도 여전히 연결된 상태로 방치된다.

 

사용자들은 사물인터넷 기기를 소홀히 보는 경향이 있는데 이들 기기를 "컴퓨터"로 보지 않기 때문이다. 사용자들은 최초 설정된 비밀번호를 바꾸지 않는다(심지어는 최초설정 비밀번호가 없을 경우 이를 그대로 두기도 한다). 이들은 방화벽이나 안티맬웨어를 TV와 온도계에 설치해야 할 필요성을 인식하지 못하며 인식이 있다 해도 설치를 위해 운영체제게 접근하지 못한다. 이들은 심지어 "사물"에서 작동하는 소프트웨어에 대해 그 버전은 고사하고 종류조차도 알지 못하며 사물인터넷 업체 대부분이 그러한 정보를 사용자에게 제공하는 데 적극적이지도 못하다.

 

몇몇 사람들은 정부 측에서 제 역할인 규제 실시에 나설 것을 원하기도 한다. 사물인터넷 기기 업체들이 제품에 모든 소프트웨어 구성요소를 명기함으로써 사용자 입장에서 보다 쉽게 보안에 대해 판단할 수 있도록 입법적으로 강제하자는 제안이 있다(식품업체가 제품포장에 열량과 영양정보를 표기하는 경우와 비슷하다). 이에 대해 다른 이들은 그러한 표기를 인해 해커들이 그 정보를 가지고 더욱 쉽게 기기에 침투할 수 있다고 주장하기도 한다(불명확에 의한 보안).

 

그렇다면 답은 무엇인가. IT보안이랑 결국 모두의 책임이 된다. 사용자, 기기 공급업체, 기기작동 코드를 만드는 소프트웨어 개발자, IT 산업 전체, 그리고 정부까지, 모두가 먼저 문제를 인식하고 힘을 합쳐 이를 해결해 나가야 한다. 현재는 아직 보안에 대해 문제가 제기되는 정도 수준이다. 사물인터넷 보안을 진지하게 받아들이는 자세가 선택이 아닌 필수라는 점에 합의가 이루어지고 나면 그 다음 단계로 나아갈 수 있다. 필자는 앞으로도 이 문제를 가지고 고민과 집필을 계속할 생각이며 모든 IT전문가들이 기업의 종류를 불문하고 사물인터넷이 모든 사람에게 중요한 비중을 차지하리라는 점을 인지하기를 바란다.

 

 

 

Debra Littlejohn Shinder, The Internet of Insecure Things, 12. 30. 2015.

http://www.gfi.com/blog/the-internet-of-insecure-things/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016.01.07 15:26

위로가기