일상 속으로 빠르게 스며드는 IoT 기술, 편리할수록 증가하는 해킹 위협
스마트 라이프를 위한 선결 조건 ‘보안’
외출하고 돌아오면 안면인식을 통해 출입구가 자동으로 열리고, 집안에 들어서면 동선에 따라 조명이 작동하며, 온도에 맞게 에어컨이 자동으로 조절되는 등 똑똑하고 편리한 집은 이제 공상과학 소설이나 영화 속에서만 등장하지 않는다. 4차 산업혁명의 핵심 기술인 사물인터넷(IoT)과 인공지능(AI), 정보통신기술(ICT), 빅데이터, 로봇공학 등을 활용한 크고 작은 아이디어들이 실현되면서 기존의 일상이 바뀌고 새로운 패러다임이 도래하고 있다. 그러나 TV나 냉장고 같은 가전부터 책상, 자동차까지 모든 물건이 인터넷으로 연결되면서 이를 노리는 범죄도 증가해, 불안감이 커지고 있다.
스마트홈, 꿈꿔왔던 일상인가 악몽인가?
코로나19 확산이라는 악재에도 불구하고 전 세계 스마트홈 시장은 두 자릿수의 견조한 성장세를 유지하고 있다. 독일 시장 조사 업체 스태티스타는 전 세계 스마트홈 시장이 2020년 773억 달러(약 87조 5036억 원)에서 2025년 1757억 달러(약 198조 8924억 원) 규모로 2배 이상 급성장할 것으로 전망한다.
집 안의 여러 디바이스가 IoT로 연결돼, 다양한 애플리케이션으로 제어되는 스마트홈은 사람들의 일상을 더욱 편리하게 바꿔놓을 것으로 보인다. 반대로 보안 취약점에 노출되면 끔찍한 사생활 노출과 범죄 피해로 이어질 수 있어 문제가 된다.
실제로, 2019년 5월 서울동부지법은 한 여성의 집 안방에 설치된 CCTV를 해킹해 자는 모습을 훔쳐본 외국인 강사에게 벌금 500만 원을 선고한 바 있다. 해당 강사는 해외 인터넷 사이트에서 피해 여성의 IP 주소를 찾아낸 뒤 이를 통해 홈 CCTV 영상에 접근했다.
이처럼 PC나 모바일 속 데이터의 유출 또는 교란에 그쳤던 기존 사이버 공격과 달리 IoT 해킹은 개인 공간에서는 심각한 수준의 프라이버시 침해로도 이어질 수 있다. 특히, 최근 반려동물 관리 등을 위한 홈 CCTV 설치가 늘면서 피해 우려 역시 커지고 있다.
이에 보안 업계에서는 IoT 해킹 피해를 막기 위한 사전 취약점 파악에 나섰다. 한국인터넷진흥원(KISA)에 민간 보안 전문가들이 신고한 국내 IoT 관련 취약점 건수는 2015년 130건에서 2018년 3배인 387건으로 늘었다. 국내에서 신고된 대표적인 취약점 사례는 ▲유무선 공유기의 관리자 권한 탈취를 통한 연결 기기 원격 제어 가능성 ▲스마트홈 서비스의 중앙 관리 서버에 침투해 특정 가정 정보(전기 사용량, 방문자 등)를 빼낼 가능성 등이 꼽혔다.
세계 IoT 시장 규모가 지속해서 확대될 것이라는 분석이 나오면서 사생활 보안 위협 또한 높아질 것으로 보인다. 한국인터넷데이터센터(IDC)는 2023년 전 세계 IoT 기기가 149억 개에 달해 1인당 3.6개의 네트워크 연결 기기를 보유할 것으로 분석했다.
AI 스피커, 유무선 공유기, 홈 CCTV 등 IoT 기기·서비스가 확대됨에 따라, 2021년에는 개인정보 침해와 사생활 피해를 발생시키는 보안 위협 또한 더욱 높아질 것으로 예측된다. 특히 코로나19 확산으로 ‘언택트(Untact)’가 새로운 흐름으로 등장하면서 스마트홈 사업과 함께 IP 카메라 시장이 더욱 확장될 것으로 보인다. 또한, 일반 중소형 사무실이나 집합 시설 역시 여전히 보안이 취약한 환경에 놓여 있는 만큼, 가정이나 시설 내 IoT 기기에 대한 해킹 피해 가능성이 늘어날 전망이다.
안전성 더한 스마트빌딩, 보안은 어떻게 관리되고 있을까?
인텔리전트 빌딩이라고도 불리는 스마트빌딩 역시 주목받고 있는 분야 중 하나다. 전력, 냉난방 시스템, 지능형 영상보안, 주차 관리 등 다양한 솔루션이 적용되고 있으며, 날이 갈수록 지능화되고 자동화되고 있다. 최근 기술이 확산됨에 따라 빌딩의 주요 설비에 IoT 센서를 적용해 빌딩 내 모든 상황을 모니터링하고 이를 기반으로 스스로 상태를 판단해 최적의 운영까지 지원한다. 빌딩용 IoT 서비스형 소프트웨어(SaaS) 체계에 쓰이는 제품에는 각종 센서 및 조명, 스위치, 플러그, 도어락, 보안 카메라 등이 있다.
이러한 IoT 제품들은 서로 데이터를 주고받고 연동하며 다양한 효과를 낸다. 에너지 절감 효과가 대표적이다. 건물 전체의 조명과 전기 스위치를 통합관제해 전력 손실을 최소화하며, 전력량 통계를 작성해 전력이 낭비되는 물리적, 시간적 지점을 파악해 체계적인 에너지 운용 계획을 세울 수 있다. 각종 사고를 최소화하는 데 도움을 줄 수도 있다. 건물 곳곳에 온습도 센서와 화재 센서, 그리고 가스 센서를 설치해 온도와 습도 변화를 구역별로 감지할 수 있다.
또한, 이산화탄소 센서를 설치, 창문 개폐 스마트머신을 이용해 이산화탄소의 농도를 일정 수준 이하로 유지해 사고를 미세한 초기 수준에서 안전하게 처리할 수 있다. 보안 역시 향상될 것으로 보인다. 각 사무실용 스마트 도어락을 통해 출입인의 ID 및 출입 로그를 저장하고, 입주사가 요청할 경우 출입인 ID 기반의 근태 관련 정보 제공이 가능하다. 이와 더불어 모션 감지 센서와 팬틸트줌(PTZ) 보안 카메라를 연동, 건물 내 모든 사람의 움직임을 감지하고 사람이 없는 방은 일정 시간 이후 자동으로 도어락을 잠금으로 전환할 수 있는 중앙 통제 시스템 역시 운용할 수 있다.
IoT 인프라는 모두 유무선 네트워크를 통해 통합적으로 모니터링 및 제어 기능을 지원한다. 그리고 클라우드 서비스와의 결합도 가능해 인터넷 접속이 가능한 곳이라면 언제 어디서나 모바일 기기나 PC로 접속해 편하게 관리가 가능한 것도 장점이다. 이렇듯 스마트빌딩은 건물 이용에 대한 편의성과 건물 관리의 효율성을 높일 수 있다는 측면에서 많은 장점을 가지고 있지만, 이는 어디까지나 스마트빌딩 관제에 대한 보안성이 확보된다는 것을 전제로 한다. 다시 말해 다양한 사이버 보안 위협에 대한 대응이 어려우면 스마트빌딩에 대한 안전성은 보장할 수 없게 된다.
2019년, 러시아 사이버 보안 업체 카스퍼스키가 발표한 바에 따르면 전 세계 스마트빌딩의 37.8%가 악의적인 사이버 공격의 영향을 받은 것으로 나타났다. 사이버 보안 위협은 다양한 자산을 대상으로 그 공격 범위를 넓혀가고 있으며, 이에 따라 스마트빌딩을 타겟으로 삼는 사이버 보안 공격 역시 더욱 증가할 것으로 전망되고 있지만, 스마트빌딩을 구성하는 관제 시스템이나 제어 시설에 대한 보안 대책이 미흡한 상태다.
한 보안 업체에서는 “스마트빌딩과 관련된 물리적 안전성과 사이버 보안 위협에 대한 정보 보안의 안정성을 동시에 확보하기 위해서는 무엇보다 스마트빌딩을 구성하고 있는 모든 자산에 대한 가시성을 완벽하게 파악하는 것이 전제돼야 한다”고 말하며, “각종 운영 기술(OT) 기기와 관련된 이상 징후, 이상 통신 내역, 오동작 여부 등에 대한 실시간 모니터링을 수행해 예측 가능한 기기 고장 및 오류에 대한 선제적인 대응 방안을 구축할 수 있어야 한다”고 설명했다.
교통수단을 넘어서 스마트 디바이스로, 커넥티드 카
자동차가 교통수단의 영역을 넘어 각종 첨단 ICT 기능을 탑재된 스마트 디바이스로 거듭나고 있다. 특히, IoT와 연계한 자동차 분야의 다양한 시도가 활발하다. 오늘날의 차량은 대부분 전자 제어 장치(Electronic Control Unit, ECU)가 장착돼 제조되고 있다. ECU는 차량 내부에서 상호 간의 네트워크를 형성해 차량 동작을 위한 데이터 통신을 수행한다. 이렇게 차량 내부에서 네트워크를 통해 전달되는 정보들은 차량 운행에 필요한 전반적인 데이터를 포함하게 된다.
자동차 제조업체들은 이러한 데이터를 수집해, 편리하고 안전한 차량을 제조하고 있으며, 차량 운전 정보를 기반으로 한 다양한 스마트 서비스를 제공할 수 있게 됐다. 하지만 차량 환경의 특수성으로 인해 차량 내부에서 통신 되는 정보들은 데이터의 암호화와 외부 데이터 유입에 대한 보안 조치가 부족하다. IT 데이터 무결성을 차량 환경에서는 완벽히 보장할 수 없다. 데이터 무결성을 보장할 수 없다는 이야기는 곧, 다른 사람이 운전자의 차량을 직접 제어하고 탈취할 수 있음을 의미한다.
해커가 차량의 인포테인먼트(IVI)와 자동 브레이크 시스템(ABS)에 접근해 원격에서 조종하는 것이 가능해진다면 운행 중인 차량의 엔진을 꺼버리거나, 와이퍼와 운전대는 물론, 라디오 채널과 음량 조작, 그리고 속도와 브레이크 또한 운전자 마음대로 작동하지 못하게 된다. 해킹당한 자동차 한 대는 교통 흐름을 늦출 뿐만 아니라 운전자의 목숨을 빼앗고, 도시 전체를 마비시킬 수 있어 그 위험성이 매우 심각하다.
한국교통안전공단에 따르면 이스라엘 보안업체 업스트림 시큐리티가 전 세계 자동차의 사이버 공격을 집계한 결과 2010년 5건에서 2015년 32건, 2018년 79건, 2019년 188건으로 급격히 늘고 있는 것으로 나타났다. 특히 2019년에는 전년 대비 두 배 이상 늘면서 자동차 사이버 보안이 시급한 과제로 떠오르고 있다. 때문에, 전 세계적으로 스마트카 제조업체들은 신기능을 출시하거나 업데이트를 할 때, 보안을 최우선으로 생각해야 한다.
이에 유럽의 자동차 OEM과 연구 기관에서는 자동차 보안 관련 프로젝트의 활발한 연구 활동을 수행하고 있다. 미국과 유럽을 중심으로 자동차의 제어 영역 네트워크(CAN, Control Area Network) 방화벽과 침입 탐지 등 많은 연구와 보안 통신 시스템이 출시되고 있다. 국내의 경우는 자동차 임베디드 시스템 가상화 기술을 통한 보안성 강화와 시스템 안전성 보장 기술을 개발 중이다.
차량과 차량, 차량과 인프라 통신을 안전하게 암호화해주는 차량 사물 통신(Vehicle-to-Everything, V2X) 기술과 자동차의 ECU 보안을 위한 오토사(AUTomotive Open System Architecture, AUTOSAR) 최신 버전 확보도 추진 중이다. 또한, 암호화된 데이터에 필요한 암호키를 안전하게 관리해주는 차량 내부용 키 관리 시스템과 자동차와 스마트 기기 간 통신을 안전하게 보호하는 시스템도 개발되고 있다. 아울러, 운전자 인증 및 프라이버시 보호를 위한 인증 기술 기반의 차량용 인증 시스템이 개발되고 있다.
스마트 라이프 맞이하기 전 풀어야 할 숙제는?
이처럼 국내외 관련 업계들이 차량의 해킹 위협에 맞서 각종 기술을 활발하게 개발하고 있지만, 여전히 스마트한 시대를 맞이하기 위해 풀어야 할 숙제는 너무나 많다. 첨단 교통 시대에 알맞은 도로 위의 새로운 윤리를 정립해야 하고, 법·제도 마련 또한 시급하다. 아직 걸음마 단계인 스마트 시대 보안 기술 역시 계속된 업계와 학계의 노력이 필요할 것으로 보인다.
전문가들은 "우리나라를 비롯해 세계 주요국들이 AI 활성화 정책을 펴고 있지만, 이로 인한 개인정보 침해나 관리 허술로 인한 정보 유출 등 역기능을 방지하기 위한 정책은 상대적으로 부족하다"고 전하며 "AI 단말기와의 무차별적 연결보다는, 연결로 인해 발생할 상충 관계의 비대칭을 고려한 이용자, 단말기, 제조업자, 규제 기관의 긴밀한 협업을 기반으로 제도적 정비가 시급하다"고 강조했다.
이에 과학기술정보통신부는 보안 사고를 예방하기 위해 올해 1월 ‘정보통신망연결기기 등’의 범위를 8개 분야 ▲가전 ▲교통 ▲금융 ▲스마트도시 ▲의료 ▲제조·생산 ▲주택 ▲통신으로 규정했으며, 정보통신망의 안정성을 확보하는 보호 조치를 마련했다고 밝혔다. 구체적으로 기존 ‘IoT 보안 인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편해 올 하반기부터 시행하고, 인증 시험 대행 기관 지정, 인증 기준 및 절차 마련 등 인증 체계 구축을 추진한다고 말했다.
아울러, 이동근 KISA 침해사고분석단장은 “홈 CCTV, 공유기, 스마트홈 서비스 등 IoT 시장이 확대됨에 따라 이를 노리는 사이버 공격도 다양해지고 있다. 이용 중인 IoT 기기에 대한 보안 업데이트, 외부 접속 경로 차단, 비밀번호 설정 및 변경 등 보안 수준을 높이기 위한 기본적인 노력도 기울여야 한다”고 전하며 IoT 이용자들의 주의를 당부했다.