생활 속 작은 습관이, IoT 보안을 강화한다

[글 이용필 | 한국인터넷진흥원 융합보안단장]

IoT 장치들이 네트워크로 연결돼 다양한 서비스를 제공하면서 우리의 삶은 더 편리하고, 스마트해지고 있다. 하지만 이와 함께 우리는 더 다양한 형태의 사이버 보안 위협에 노출되고 있다. 이번 글에서는 한국인터넷진흥원(KISA)이 발표한 IoT 보안 지침 내용을 기반으로 개인 차원에서 취할 수 있는 필수적 IoT 보안 조치 사항에 대해 알아본다.

일상을 위협하는 IoT 보안 위협

지난 2018년 국내 가정집과 매장 등에 설치된 IP카메라가 해킹당해 약 5천여 명의 사생활이 유출된 사건이 발생했다. 이 사건은 해커가 IP카메라의 비밀번호를 설정하지 않았거나, 누구나 알기 쉬운 번호로 설정한 기기에 무단으로 접속한 뒤 영상을 불법 촬영하고 유포한 사례다.

커넥티드카를 해킹할 경우엔 교통마비뿐 아니라 인명 피해도 유발할 수 있다. 커넥티드카 보안전문가인 크리스 발라섹(Chris Valasek)과 찰리 밀러(Charlie Miller)는 2015년 원격제어 기능을 탑재한 ‘크라이슬러 Jeep’ 차량을 해킹해 차량의 텔레매틱스, 브레이크 시스템 등 차량 제어권을 탈취하는 시연을 발표한 바 있다.

또한, 의료 서비스에 사용하는 심박조절기, 인슐린 펌프, 제세동기 등의 IoT 장치를 해킹할 경우, 개인의 의료 정보를 탈취할 수 있을 뿐 아니라 자칫 환자의 생명을 위협할 수 있는 상황이 발생할 수도 있다.

개인 차원의 IoT 기본 보안 대응 방안

IoT 장치의 사이버 위협을 사전에 예방하기 위해 사용자는 다음과 같은 최소한의 보안 대응 방안을 준수해야 한다. 단, IoT 장치 종류에 따라 대응 방안을 선별해 적용할 수 있다.

첫 번째는 IoT 장치의 로그인 패스워드를 안전하게 설정하는 것이다. 패스워드는 숫자와 영문자, 특수문자를 혼합해 8자리 이상으로 구성해야 하며, 생일이나 주민등록번호, 전화번호, 연속된 번호, 사용자 ID를 이용한 패스워드 등 추측이 가능한 비밀번호는 지양해야 한다.

또한 패스워드는 최대 3개월 이내에 주기적으로 변경해야 하며, 메모장과 엑셀 등에 계정과 패스워드를 정리해 관리하는 것은 금해야 한다.

특히, IoT 장치의 초기 설정 비밀번호는 0000, 1111 등 단순한 번호로 설정된 경우가 많다. 때문에 이용하기 전, 안전한 패스워드로 변경해야 한다.

두 번째는 사용자 인증 설정 부분이다. IoT 장치의 중요 서비스 및 데이터에 접근할 경우 인증 절차를 거칠 수 있도록 설정하는 게 중요하다. ID/PW 기반의 사용자 및 관리자 인증을 수행하거나, 중요 데이터는 SMS, NFC 등 스마트폰으로 2차 인증을 거치도록 해 보안을 강화해야 한다.

다음은 제조사가 제공하는 최신 업데이트를 주기적으로 확인하고 실시해야 한다. 말 그대로 제조사에서 제공하는 최신 펌웨어 업데이트를 진행함과 동시에 인가된 사용자 및 관리자의 ID/PW, PIN, 생체인식 등을 통한 업데이트가 진행되도록 해야 한다.

마지막으로 암호화 설정이다. 암호화 관련 취약점으로 인한 IoT 장치의 데이터 유출을 방지하기 위해 프로토콜 설정이 가능한 장치에 SSL(Secure Socket Layer), TLS(Transport Layer Security) 등의 보안 통신 프로토콜 사용을 설정해야 한다.

제품의 보안내재화 필수적

KISA는 이 밖에도 다양한 사이버 위협에 효과적으로 대응하기 위해 IoT 장치 보안내재화 방안을 수립해 운영하고 있다. 보안 내재화 서비스를 통해 개인 IoT 장치의 보안 수준을 확인하고 보완할 수 있다.

우선 KISA는 기업·개인 네트워크에서 운영 중인 장치의 취약점을 점검하는 IoT 취약점 점검 서비스를 운영하고 있다. 해당 서비스는 보호나라 홈페이지에서 이용할 수 있으며, 사용자는 결과 보고서를 바탕으로 취약점을 보완해 IoT 장치의 보안을 강화할 수 있다.

또한 IoT 장치의 해킹을 사전에 보호하기 위해 일정 수준의 보안성을 갖췄는지를 시험하고 확인해야 한다. KISA의 IoT 보안 테스트베드에서는 무료로 소스코드 취약점과 통신 프로토콜 취약점 등의 점검을 수행해 IoT 장치와 서비스에 대한 보안 수준을 시험하고 보완할 수 있다. 여기에 보안컨설팅 뿐만 아니라 IoT 보안교육도 제공하고 있다.

ICT 기술이 발전하는 만큼 사용자는 스스로 IoT 장치의 보안 수준을 점검하고 보완할 수 있어야 한다. 사용자가 IoT 장치의 패스워드와 사용자 인증 등 기본적인 보안 대응 방안을 설정하는 게 무엇보다 중요하고, KISA에서 제공하는 다양한 IoT 장치 보안내재화 서비스를 활용해 보안 수준을 올리는 것도 보안을 강화하는 방법 중 하나다. 이를 바탕으로 사용자의 보안 수준을 높임과 동시에 더욱 안전하고 편리하게 IoT 서비스를 이용할 수 있을 것이다.