구멍 뚫린 스마트홈, 무엇이 문제였나?

많은 보안 전문가들은 월패드 해킹 사건의 주요 원인을 홈네트워크 보안 장치의 부재와 보안 기준 미준수로 꼽았다. 해당 아파트 단지에 네트워크 보안을 위한 조치가 충분히 이뤄지지 않아 이런 불상사가 발생했다는 것이다.

당시 사건을 취재한 다수 언론은 월패드가 해킹된 대다수 아파트에 홈네트워크 보안 장치인 홈게이트웨이의 부재로 인해 해킹이 발생했다고 보도했다. 하지만 본지 취재 결과, 당시 홈게이트웨이가 없어서 해킹이 발생했다는 내용은 사실이 아니었다.

최성준 과학기술정보통신부(이하 과기정통부) 네트워크정책과장은 “그동안 월패드 해킹 사건과 관련한 보도에서 많은 언론에서 홈게이트웨이를 네트워크 보안 장비라고 했는데 이는 사실이 아니다. 홈게이트웨이는 홈네트워크 보안 장비가 아니라 액세스망과 홈네트워크를 연결하기 위한 장치다. 따라서 게이트웨이는 해킹과 직접적인 관련이 없다. 당시 해킹은 보안 장비의 운용이 제대로 이뤄지지 않아 발생했다고 보는 게 맞다.

예를 들면 방화벽이 제대로 구축돼 있지 않거나 네트워크 장비에서 불필요한 포트를 열어 놓은 경우 등이다. 게다가 홈게이트웨이가 따로 설치되지 않아 해킹이 발생했다는 내용도 있었는데 요즘은 대부분 홈게이트웨이가 월패드에 내장된 채로 개발된다. 따라서 필수 설비인 홈게이트웨이 없어서 해킹에 취약하다는 표현도 맞지 않다”라고 일축했다.

홈네트워크의 보안을 둘러싼 문제가 커지자 과기정통부, 국토부, 산업통산자원부(이하 산자부) 등 기관은 2022년 6월 한 달간 ‘지능형 홈네트워크 설비 설치 및 기술 기준(이하 기술 기준)’ 준수 여부와 보안 관리 실태에 대한 조사를 실시했다. 조사 대상으로는 지역, 준공연도, 홈네트워크 기기 설치 제품 등을 고려해 전국의 20개 아파트 단지가 선정됐다.

조사 결과, 기술 기준에 규정된 홈네트워크망·홈네트워크 장비 등 필수 설비가 누락됐거나 홈네트워크 장비에 대한 인증 준수 여부가 지켜지지 않은 단지는 없는 것으로 나타났다. 하지만 보안 설비·설치 기준을 위반한 사례가 다수 발각됐다.

위반 내용은 ▲설비 설치 공간의 잠금 장치 미흡(11개 단지) ▲주요 설비 장소에 CCTV 미설치(3개 단지) ▲단지 네트워크 장비 설치 장소 위반(1개 단지) 등이었다. 또한 보안 관리 실태에서도 미흡한 점이 많이 발견됐다. 대다수 단지가 관리사무소 컴퓨터 등에서 보안에 취약한 비밀번호를 사용하고 있었으며, 기술 지원이 종료된 운영체제(윈도우7)를 사용하거나 최신 보안 업데이트를 적용하지 않은 등 보안 위협에 취약한 경우도 많았다.

이에 정부는 설비 설치 기준 위반 사례 단지에 대해서는 지자체를 통해 관계 법령에 따라 사업주에게 조치를 요구하고, 지역별 공동 주택을 대상으로 기술 기준 준수 여부에 대한 추가 조사를 요청했다.

홈네트워크 보안을 위한 대책 중 하나인 세대 간 망분리 문제도 다시 한번 도마에 올랐다. 그동안 스마트홈이 설치된 아파트 단지는 하나의 네트워크를 전체 가구가 공유하고 있어, 해커가 한 가구의 월패드만 해킹해도 모든 가구에 침입할 수 있는 구조였다. 전문가들은 만약 망분리가 구축돼 있었다면 해킹이 이렇게까지 확대되지는 않았을 것이라고 평가했다.

세대 간 망분리는 아파트 내 방재실에 설치된 단지 서버에서 각 세대까지의 네트워크를 세대별로 물리적 혹은 논리적인 방법으로 분리해 구성하는 것을 말한다. 망분리가 돼 있을 경우 해커는 한 세대를 경유해 다른 세대로 침입할 수 없다.

망분리에는 물리적 분리와 논리적 분리가 있다. 물리적 분리는 단지 서버와 각 세대망 사이의 네트워크 구성을 물리적인 단일 네트워크로 연결해 구성하는 방법으로 단지 서버와 각 세대망을 연결하는 네트워크를 세대마다 독립적으로 구축한다.

논리적 분리는 네트워크 회선을 타세대와 공동으로 이용하지만 가상사설통신망(VPN), 가상근거리통신망(VLAN)을 사용해 물리적으로 분리된 것처럼 만드는 방법이다. VPN은 VPN 게이트웨이와 VPN 클라이언트 간 가상 경로를 설정하는 채널을 만들어 송수신되는 데이터를 암호화한다. 이를 통해 다른 세대의 내부로 접근할 수 없게 보호한다.

이처럼 망분리는 홈네트워크의 보안성을 강화하기 위해 매우 중요한 부분이다. 세대 간 해킹 확산을 막을 수 있기 때문이다. 하지만 망분리가 홈네트워크의 보안 위협을 100% 차단해줄 수 있는 것은 아니다. 주 배선반(MDF)·중간 단자함(IDF)에 대한 무단 접속, 중앙 서버로 전달되는 데이터 해킹까지도 막을 수는 없기 때문이다. 게다가 아파트 세대 출입에 이용되는 RFID(Radio Frequency Identification, 무선 인식 기술) 카드 복제 등을 악용한 무단 침입도 통제가 불가능하다.

전문가들은 홈네트워크의 보안 강화를 위해서는 망분리는 기본이고, 그 외에도 네트워크를 통해 주고받는 데이터를 암호화하고 세대 간 단말 접속 시 인증 방안을 마련하는 등 다양한 보안 솔루션이 함께 구축돼야 한다고 말한다.

보안 기업 파이오링크 관계자는 “월패드 해킹의 규모가 커진 것은 아파트 단지망이 하나로 연결됐기 때문이다. 만약 망분리를 통해 세대가 분리돼 있었다면 한 집이 해킹되더라도 다른 집까지피해를 입지는 않았을 것이다. 다만 망분리가 됐다고 해서 모든 게 해결되는 건 아니다. 망분리와 별개로 월패드 자체의 보안 취약점 문제, 아파트 중앙 관리 서버 관리자 부주의, 사용자의 비밀번호 이용 수칙 미준수 등 다양한 요인이 있어 관련 대책도 추가로 필요하다”고 강조했다.

 

스마트홈을 지키기 위한 움직임 활발

월패드 해킹 사건이 일파만파 퍼진 후 정부와 보안업계는 홈네트워크의 보안 문제 해결을 위한 종합적인 대책 마련에 착수했다. 과기정통부, 국토부, 산자부 등 관련 부처는 2021년 12월 31일 기술 기준을 개정하고 2022년 7월 1일부터 시행하도록 했다.

개정된 지능형 홈네트워크 고시에는 한국정보통신진흥협회를 통한 정책 연구 결과를 토대로 보안 전문가와 건설사, 정보통신공사업자 등 관련 업계의 의견이 담겼다.

개정안의 주요 내용은 ▲아파트 관리 주체에게 홈네트워크 설비 유지·관리 매뉴얼 제공 ▲물리적 또는 논리적 방법으로 세대별 홈네트워크 망분리 ▲기밀성, 인증, 접근 통제 등 보안 요구 사항을 충족하는 홈네트워크 장비 설치 ▲정보통신망법에 따라 정보 보호 인증을 받은 기기 설치 권고 등이다.

개정안에 따라 주택 건설 사업을 승인 받은 건설사는 홈네트워크 설비 시 개정된 내용을 반드시 준수해야 한다. 또한 2022년 6월에는 한국정보보호산업협회(KISIA)와 함께 홈네트워크의 보안 강화를 위한 민관 협의회인 ‘홈네트워크 보안 협의회(이하 협의회)’가 출범했다. 협의회를 통해 홈네트워크의 운영 및 실태를 조사하고 논의를 통해 홈네트워크 보안 서비스 개발·보급을 앞당기겠다는 계획이다.

최성준 과기정통부 네트워크정책과장은 “기술 기준 개정 이후 아파트 단지를 대상으로 홈네트워크 보안 관리 지원 사업을 진행하고 있다. 홈네트워크 보안 관리에 어려움을 겪는 경우가 많아 효율성이 높은 보안 솔루션을 어떻게 지원할 수 있을지도 고민하고 있다. 이와 관련해 앞으로 협의회와의 논의를 지속할 예정이다”라고 말했다.

한편, 한국인터넷진흥원(KISA)은 기술 기준을 바탕으로 ‘홈네트워크 보안 가이드(이하 가이드)’를  2022년 12월 16일 게시했다. 가이드는 개정된 지능형 홈네트워크 기술 기준에 대한 해석과 이행 방법을 제시하고 있다.

가이드는 세대 간 망분리 원칙에 따라 각 세대와 단지 서버 사이의 망은 전송되는 데이터의 노출·탈취 등을 방지하기 위해 분리하도록 규정했다. 각 세대망은 단지 서버 외에 다른 세대로의 접근을 방지하기 위해 망분리를 적극 활용하도록 권고했다. 또한 지능형 홈네트워크 설비의 설치 및 기술 기준도 제시했는데, 여기에는 홈네트워크 장비가 갖추어야 할 보안 요구 사항도 포함됐다. 구체적으로는 데이터 기밀성, 데이터 무결성, 인증, 접근 통제, 전송 데이터 보안 등이다.

이 외에도 가이드는 ▲단지 네트워크 장비 보안 ▲세대 단말기 보안 ▲단지 서버 보안에 관한 기준과 권장 사항도 제시하고 있다. 권장 사항에는 복잡한 비밀번호 조합, 인증 시도 실패 시 접근 제한, 자동 접속 차단, 인증 기능 적용 등의 내용이 담겼다.

다만 당초 정부가 언급했던 망분리의 논리적 방식 내에 포함된 데이터 암호화 기술은 가이드에서 제외됐다. 이에 대해 KISA는 암호화 방식으로는 논리적인 망분리를 하는 데 한계가 있다는 논의에 따른 결과라고 설명했다. 

현재 업계에서는 정부가 제시한 가이드가 명확하지 않아 보안 요구 사항을 충족하는 설비를 설치했다 해도 지속적인 보안 관리가 이뤄지지 않으면 해킹 사고가 발생할 수 있는 등 한계에 대한 의견이 계속 나오고 있다. 이에 대해 KISA는 현재의 가이드는 최종이 아니라 앞으로 검토해 나가야 하는 과정으로, 업계의 의견을 지속적으로 수렴하고 동시에 전문가 검토를 통해 더욱 안전하게 만들어 나가야 한다는 입장을 내놓고 있다.

한편, KISA는 올해 1월 2일 ‘공동주택 홈네트워크 시스템 보안 관리 안내서(이하 안내서)’를 발간했다. 이번 안내서는 홈네트워크 시스템 변경이 현실적으로 어렵고 보안 요구 사항을 충족하는 설비를 설치해도 지속적인 보안 관리가 이뤄지지 않을 시 해킹 사고가 발생할 수 있는 점에 대한 보완 방안을 담고 있다.

이 외에도 안내서는 ▲홈네트워크 시스템 보안 점검 항목 ▲주요 시스템의 보안 점검 절차 ▲관리 PC 보안 설정 및 점검 절차 ▲주요 시스템 및 관리와 점검표 등 보안 점검 가이드 등도 제시했다. 또한 관리 사무소 등에서 업무 목적으로 사용하는 네트워크를 함께 사용하지 않게 하는 등 사용자에 대한 보안 권고 사항도 포함했다.

이재형 KISA 융합보안인증팀장은 “가이드는 기술 기준에 대한 해설로 기술 기준의 이해를 구체적으로 돕기 위해 발간했다. 최종안이 아니기에 망분리 등 홈네트워크 보안과 관련해 신기술이 나오면 필요해 의해 언제든 개선될 수 있다. 다만 지금 가이드가 나온 지 1년이 되지 않았고, 자주 변경하면 혼란을 줄 수 있기 때문에 신중한 논의를 거쳐 때가 되면 다시 개선해 나갈 예정이다”라고 말했다.

현재 우리나라의 홈네트워크 보안은 아직 걸음마 단계에 있다. 홈네트워크의 보안 문제에는 과기정통부, 국토부, 산자부 등 정부 부처와 보안 기업, 건설사, 월패드 제조사 등 다수 업계가 연관돼 있어 그동안 관련 논의가 쉽지 않았다. 하지만 언제까지 그럴 수는 없다. 대규모 해킹 사고가 일어나고 스마트홈 시장이 빠르게 성장하는 가운데 보안 사고는 언제든 다시 발생할 수 있으며, 피해 규모도 더 커질 수도 있기 때문이다. 

따라서 관련 업계는 과기정통부와 KISA 등 기관이 제시한 가이드와 기준을 중심으로 홈네트워크의 보안 기술과 정책에 대한 논의에 더욱 적극적으로 참여해야 한다. 그래야만 미래의 보금자리가 될 우리의 스마트홈을 안전하게 지킬 수 있을 것이다.