2021년 12월 한 온라인 커뮤니티에 국내 아파트 700곳(약 17만 가구)의 월패드를 해킹했다는 글과 함께 증거 사진이 올라와 많은 이들에게 충격을 줬다. 경찰청 조사에 따르면, 실제로 해킹 피해를 본 아파트 3곳에는 악성 프로그램이 깔려 있었다.
어떻게 이런 일이 가능할까 싶지만, 모든 기기가 통신망으로 연결된 현대 사회에서는 충분히 일어날 수 있는 일이다. 특히 사물인터넷(IoT)를 기반으로 집안의 모든 기기를 제어하는 월패드를 통해서라면 더욱 쉽다.
월패드는 가정 내 스마트 가전기기를 원격으로 조종하는 네모난 디스플레이 모양의 제어 장치로, 스마트폰 애플리케이션을 조작하듯 집안의 다양한 기기를 제어할 수 있다.
월패드는 가정 내 여러 IoT 기기를 통제할 수 있다는 장점만큼이나 해킹 시 그 위험도 크다. 원격으로 현관문을 열거나 집안에 설치된 홈 카메라를 통해 내부를 훔쳐볼 수도 있으며, IoT로 연결된 가전기기를 마음대로 제어할 수도 있다. 이렇게 해킹을 통해 수집된 민감한 정보들은 다크웹 상에서 판매가 되기도 한다.
뻥 뚫린 스마트홈, 문제는 해킹 차단하는 홈게이트웨이 부재
보안업계 전문가들은 월패드 해킹 사태는 이미 예고된 것이라고 지적한다. 지능형 홈네트워크 설비 시 필수로 설치돼야 하는 네트워크 보안 장치가 누락돼 있었기 때문이다.
국토교통부가 지정한 ‘지능형 홈네트워크 설비 설치 및 기술 기준 제8조 2항(2009.3.4. 제정)’에 따르면, 홈네트워크가 구축된 주거 단지의 경우, 홈게이트웨이 등 단지 서버 간 통신과 보안을 수행할 수 있는 단지 네트워크 장비를 꼭 설치해야 한다.
또한 설치 후에는 한국정보통신진흥협회(KAIT)의 ‘홈네트워크 건물 인증’을 받은 후 한국인터넷진흥원(KISA)를 통해 ▲모바일 앱 ▲IoT 기기(월패드 및 홈네트워크건물인증 심사 항목에 해당하는 무선기기) ▲네트워크 ▲서버 ▲정보 보안 장비 등에 대한 정보 보안 조치 여부도 점검을 받아야 한다. 홈게이트웨이는 홈네트워크의 보안에 있어 가장 중요한 장치로, 해커가 외부에서 단일망을 통해 단지 네트워크로 접근을 시도하면 IP 주소를 임의로 바꿔 차단하는 일종의 방어막 역할을 한다.
하지만 일부 언론 보도에 따르면, 해킹된 월패드가 설치된 다수의 아파트 단지에는 보안을 위한 홈게이트웨이 등이 아예 설치돼 있지 않은 것으로 밝혀졌다. 필수 장치임에도 10년 이상 동안 설비가 누락된 것이다.
월패드 해킹이 알려진 후 몇몇 시민들은 자가 내 홈게이트웨이의 설치 유무를 확인하기 위해 집안의 통신 단자함 내부 사진을 직접 찍어 올렸다. 하지만 공개된 다수의 단자함 내부에는 IP 공유기나 인터넷 허브, TV 분배기만 있을 뿐 홈게이트웨이 등 보안 장치는 보이지 않았다.
이에 대해 월패드 제조사와 아파트 건설사 측은 홈게이트웨이 설치가 법적 필수이며, 설치 시 산업 표준을 충족해야만 한다는 사실을 몰랐다는 입장을 내고 있는 상황이다.
하지만 일부 언론 보도에 따르면, 2009년 홈네트워크 설비 기술 기준이 제정된 후 네트워크 장치의 기술 기준인 KS 표준을 만드는 산업표준심의회에 다수의 월패드 제조사가 참여한 사실이 밝혀지면서 제조사들의 주장도 신빙성을 잃어가고 있다.
일각에서는 애초에 아파트 준공과 감리 과정에서 왜 홈게이트웨이 설비에 대한 감시가 제대로 이뤄지지 않았냐는 지적도 나오고 있다. 아파트 준공 시에는 구내 통신, 방송, 이동 통신, 홈네트워크 등 정보통신기기에 대한 감리를 필수로 받아야 한다.
하나 업계 관계자에 따르면, 실제로 아파트 준공에서는 지능형 홈네트워크의 필수 설비인 홈게이트웨이가 빠진 채 설치되는 경우가 대다수이다. 또한 설치가 이뤄지더라도 이런 장비들은 한 번 설치된 이후 수년간 업데이트가 이뤄지지 않고 방치되기도 한다. 게다가 점검도 단순히 장비가 잘 작동되는지 안되는지 육안으로 확인하는 정도로 넘어가는 경우가 많아, 보안 측면에서는 굉장히 취약할 수밖에 없다. 또한 현재로서는 보안성에 대한 표준화된 검사 기술도 없는 상황이다.
홈네트워크 망 분리 의무화 재추진, 하지만 보안에 능사는 아니야
이번 사태로 홈네트워크 해킹에 대한 불안이 점점 커지고 있어, 이후 지능형 홈네트워크의 보안 강화에 대한 사회의 요구는 더욱 강해질 것으로 예상된다.
사실 홈네트워크 보안을 위한 초석은 2018년 1월 이미 ‘공동주택 세대간 사이버 경계벽 구축’에대한 주택법 개정안 발의로 한 번 공론화가 이뤄졌다. 하지만 담당 부처와 공무원 변경 등으로 법제화 작업이 지지부진하면서 4년째 제자리 걸음을 달리고 있었다.
이에 최근 정부는 다시 세대별로 네트워크를 분리하는 '세대 간 망 분리'를 법제화를 재추진했다. 이를 통해 월패드와 가정용 사물인터넷(IoT)의 보안성을 높인다는 계획이다. 올해 7월부터 망 분리 의무화가 시행되면, 해커 등 외부 침입자는 게이트 웨이를 통해 다른 세대나 단지 서버로 이동할 수 없게 된다. 세대마다 네트워크가 분리되기 때문에 한 세대가 해킹되더라도 다른 세대로 피해가 확산되지 않는다.
하지만 일부 보안업계는 망 분리 의무화만으로는 홈네트워크 보안을 근본적으로 해결할 수 없다는 의견을 내놓고 있다. 망 분리가 세대 간 해킹 확산은 막을 수 있지만, 주 배선반(MDF)·중간 단자함(IDF)에 대한 무단 접속, 중앙 서버로 전달되는 데이터 해킹까지도 막을 수는 없다는 주장이다. 게다가 아파트 세대 출입에 이용되는 REID(무선 인식 기술) 카드 복제 등을 악용한 무단 침입도 통제가 불가능하다.
2021년 한국정보통신학회의 ‘망 분리 환경에서 취약성 및 침해사고 분석’ 연구에 따르면, 망 분리가 적용된 상황에서도 망 연계 시스템을 통해 해킹은 충분히 발생할 수 있다. 인터넷망과 폐쇄망 사이의 유지보수를 위해 연결 접점이 생긴 경우, 그 접점을 통해 침입이 발생할 수 있기 때문이다.
2016년에는 각 군대의 웹사이트와 인트라넷 등 군의 모든 IT 서비스를 통합 관리하는 국방통합데이터센터의 망 분리 환경에서 망 연계 접점을 통한 해킹 사고가 발생했다. 망 사이를 유지·보수하는 과정에서 외부의 침입이 발생한 것이다. 이로 인해 내부에 악성코드가 유포되고 국방 관련 정보가 유출되기도 했다.
보안 전문가들은 홈네트워크의 보안 강화를 위해서는 망 분리 의무화뿐 아니라 망을 통해 주고받는 데이터를 암호화하고, 세대 간 단말 접속 시 인증 방안을 마련하는 등 다양한 보안 솔루션이 함께 구축돼야 한다고 말한다. 홈네트워크 보안을 위해 정부와 지자체가 네트워크 보안을 전문적으로 구현하는 기업들과 연계해 최대한 빈틈없는 보안성을 확보해야 한다는 설명이다.
월패드 등 IoT를 활용한 지능형 홈네트워크는 가정 내 다양한 생활 기기를 연결해 일상의 편리함을 더해주는 일등 장치로 자리 잡았지만, 네트워크망을 통한 해킹 등에 취약하다는 치명적인 약점에 봉착하고 있다. 앞으로 홈네트워크의 보안 문제 해결은 우리 사회의 중요한 안전 과제로 떠오를 것으로 전망된다.
