[기고] 2020, 사물인터넷 보안기술 전망

[글=유동훈 시큐리온 대표이사 | 現 온시큐어홀딩스 대표이사 | 아이넷캅 연구소장/기술이사] 

오늘날 전 세계 사물인터넷 시장은 그야말로 급격하게 성장하고 있다. 에릭슨LG가 발표한 통계에 따르면 셀룰러 사물인터넷 기기의 인터넷 연결 건수는 연평균 25% 성장률을 보이고 있고, 2019년 말 13억 건 수준에서 2025년 말엔 약 50억 건으로 증가할 것으로 예상된다.

또한 시장조사 기관 IDC에 따르면 세계 사물인터넷 시장규모는 2017년부터 2022년까지 두 자릿수의 연간 성장률을 유지하며 2022년에는 1조 달러를 넘어설 것으로 예상된다. 특히 IDC는 올해 우리나라가 사물인터넷에 257억 달러(약 28조 7400억 원)를 지출할 것으로 예상했는데, 이는 전 세계 국가 중 다섯 번째에 해당하는 규모다.

과학기술정보통신부가 발표한 ‘2018년 국내 사물인터넷 산업 실태조사’에 따르면, 당시 사물인터넷 시장 매출액은 8조 6081억 원(내수는 7조 8880억 원으로 연평균 21.4% 증가, 수출은 7201억 원으로 연평균 40% 증가)으로 연 평균 22.6% 증가한 것으로 밝혀졌다.

아울러 최근 소비자를 대상으로 한 국내 사물인터넷 서비스 시장은 SKT, KT, LG유플러스 등 이동통신 3사가 주도하고 있고, 과거 Free Wi-Fi zone으로 시작된 모바일 무선 연결은 5G 출시에 힘입어 급성장할 것으로 전망된다.

범용 운영체제가 탑재된 사물인터넷 기기의 증가

최근 우리의 일상에 깊숙이 들어온 사물인터넷 기기의 증가 추세는 가히 폭발적이라고 해도 과언이 아니다. 스마트워치, 이어폰 등 모바일과 연결되는 웨어러블 사물인터넷 기기를 시작으로, 스마트 스피커로 연계되는 TV와 각종 스마트홈 기기 등이 대표적인 사물인터넷 기기의 예다.

사물인터넷 기기에는 범용 운영체제가 탑재된다. 전 세계 20억 대 모바일 기기에 서비스를 제공하고 있는 구글은 안드로이드 운영체제를 모바일 기기뿐만 아니라 웨어러블 기기(Wear OS)나 TV, 차량(Automotive)에서 적용할 수 있도록 각종 개발 도구를 제공하고 있으며, 사물인터넷 기기에서 운용할 수 있는 플랫폼(Android Thnigs)을 별도로 제공하고 있다.

제조사들의 경우 스마트워치를 시작으로 TV, 냉장고, 세탁기, 에어컨, 공기청정기, 청소기 등의 거의 모든 가전제품에 적용할 수 있는 플랫폼을 목표로 타이젠 운영체제를 개발하고 있고, 모바일 기기와 스마트워치, TV를 대상으로 개발 도구(SDK)를 공개했다.

타이젠 개발사는 Android Things에 대적할 수 있는 타이젠 RT 운영체제를 공개한 상태이며 2018년을 기준으로 약 1억 대가 넘는 전자 제품에 탑재됐다고 밝힌 바 있다.

국내 이통사들은 사물인터넷 관련 서비스를 개발하거나 파생상품을 결합하는 형태의 적극적이고, 공격적인 마케팅을 펼치고 있다. 무선인터넷과 TV 셋톱박스를 결합한 상품부터 스마트 스피커까지 함께 제공하는 상품까지 출시됐고, 향후에는 각 기기들이 연계된 스마트 홈 전용 사물인터넷 서비스까지 제공될 것으로 예상된다.

범용 운영체제 기반 사물인터넷 기기 위협

과거 저사양의 임베디드 기기는 대부분 리눅스 기반 운영체제를 탑재해왔다. 그러나 최근 출시되는 사물인터넷 기기들의 기본 사양이 높아짐에 따라, 안드로이드나 타이젠과 같은 범용 운영체제를 탑재하는 추세이다.

이렇게 고사양의 사물인터넷 기기들이 범용 운영체제를 탑재해 출시하는 이유는 다양하지만, 크게 두 가지 이유를 꼽을 수 있다.

하나는 제조 혹은 유통 과정에서 전용 소프트웨어를 쉽게 탑재해 제공할 수 있다는 점이고, 또 다른 하나는 과거 임베디드 리눅스와 비교해 보안성이 개선된 제품을 제공할 수 있다는 점이다.

임베디드 기기 제조사의 주도로 펌웨어 업데이트만 제공되었던 과거와 달리, 오늘날 많은 기기들은 항시 인터넷과 연결된 상태로, 언제든지 OTA(On-the-Air) 업데이트가 가능해졌다.

그런데 이렇게 범용 운영체제의 점유율이 높아지는 현상은 보안에도 상당한 영향을 미칠 수 있는데, 기기의 시장 점유율이나 제품 보급도에 따라 위협의 피해 심각도가 달라지기 때문이다.

과거 리눅스 기반 임베디드 기기의 경우 기기별, 소프트웨어 버전별 특성에 따라 공격 가능 여부가 달라졌기에 특정 제조사 제품에 취약점이 있다고 해도 보급 정도에 따라 피해의 수준은 미미할 수 있었다.

이는 인터넷에 연결된 취약한 기기를 한 눈에 검색해볼 수 있는 쇼단(Shodan), 센시스(Censys)와 같은 검색엔진 서비스를 통해 파악할 수 있다.

뿐만 아니라 표1과 같이 각종 기기 취얍점을 살펴보면, 각 기기와 소프트웨어 버전별로 취약점이 상이하고 특정 취약점에 노출된 일부 제품에만 영향을 미치고 있음을 알 수 있다.

그러나 만일 20억 대의 모바일 기기에 설치된 안드로이드 운영체제가 소비자들도 모르는 사이에 각종 사물인터넷 기기와 가전제품에 설치돼 보급된다고 가정해보자. 이렇게 범용 운영체제가 전 세계의 사물인터넷 기기를 대상으로 널리 보급됐을 때, 발생할 위협 상황의 규모가 상당할 것임은 누구라도 충분히 예상 가능하다.

특히 공격자의 입장에서는 범용 운영체제에서 찾아낸 단 하나의 소프트웨어 취약점으로 훨씬 더 다양한 기기에 유포가 가능한 ‘범용 악성코드’를 제작할 수 있게 된다. 그간 다양한 소프트웨어가 탑재된 기기들을 공격하고 악성코드를 유포하기 위해 여러 취약점을 찾아야 했던 수고를 덜어낼 수 있게 된 것이다.

실제로 이러한 사례는 2017년 9월에 발표됐던 [표 2]의 ‘블루본 취약점’ 위협만 보더라도 충분히 파악할 수 있다.

아미스 연구소가 발표한 8가지 제로데이 취약점 중 4개의 치명적인 결함을 이용하면, 전 세계 연결된 약 80억 개의 사물인터넷 기기 중 블루투스를 사용하고 있는 상당수 기기에 피해를 입힐 수 있음이 밝혀진 것이다.

또한 아미스연구소는 범용적으로 사용되는 모바일 기기(약 20억 대)와 스마트워치, 스마트TV와 스마트 냉장고와 같은 가전제품, 기업과 가정에서 주로 쓰이는 대표적인 어시스턴트 제품 약 2천만 대(구글 홈 500만 대, 아마존 에코 1500만 대)를 대상으로 공격 시나리오와 데모를 시연한 바 있다.

그리고 이러한 데모 시연에서 과거 임베디드 리눅스 운영체제 보다 보안성이 높다고 믿어져 왔던 안드로이드와 리눅스 기반 타이젠 운영체제 또한 위협을 피해갈 수 없음이 확인되었다.

성실하고 수준 높은 보안 업데이트·기능 제공 필수적

앱 실행 가능한 범용 운영체제가 탑재된 사물인터넷 기기는 계속 증가하는 추세이고 이와 더불어 보안성 수준도 향상될 것이라 기대하고 있다. 하지만 이러한 변화는 기존의 모바일 기기들과 마찬가지로 사물인터넷 보안에는 별다른 도움이 안 된다.

또한 최근엔 안드로이드 기반 TV나 웨어러블 스마트워치를 대상으로 모바일 기기와 동일하게 앱을 유통하는 마켓 서비스를 제공하거나, 차량용 운영체제에서도 동일하게 마켓 기능을 기본 제공하고 있으며, 심지어는 마켓이 없이도 앱을 설치할 수 있다.

이러한 편의 기능은 과거 모바일 기기를 위협했던 악성 앱 이슈가 그대로 사물인터넷 기기에 영향을 줄 수도 있다는 점을 의미한다. 즉, 안드로이드 모바일 악성 앱 이슈와 유사하게 누군가 기기 내에 백도어를 탑재하거나 기기에 접근 가능한 사람이 손쉽게 스파이 앱을 빌드해 넣을 수 있게 되는 것이다.

실제로 녹음 기능을 악용해 소비자의 사생활과 직결된 여러 정보를 유출하는 스파이 앱이 기기에 설치된다고 가정하면, 현재로서는 이를 알 수 있는 방법이 전무한 상태라고 볼 수 있다.

또한 기기가 루팅될 경우 기기 내 저장된 컨텐츠 정보들을 보호할 수 없게 되며, 이는 기기 제조사 뿐만 아니라 서비스를 제공하는 유통사들까지 피해를 입는 상황이 발생할 수 있다.

결론적으로 이러한 이슈들에 대응하기 위해 제조사나 유통사가 배포한 기기에 대해서 만큼은 성실하게 소프트웨어 보안 업데이트를 제공해야 한다. 또한 임베디드 기반 리눅스를 사용하던 기기와 다르게 기기 자체를 엔드 포인트로 인식하고 그에 걸맞은 수준으로 보안에 앞장서야 한다.

아울러 소비자들의 직접적인 피해를 최소화하기 위해 제조사와 유통사가 대응 방안을 제시해야 하며, 원할 때 언제든지 기기를 보호할 수 있는 보안 기능 또한 제공돼야 할 것이다.