"스마트시티, 스마트팩토리, 스마트빌딩 환경의 사물인터넷(IoT) 센서가 5G(이동통신서비스)와 대규모로 연결되면, 해커들이 여기에 몰려들어 공격할 것이다."
SK인포섹 보안전문조직 이큐스트(EQST)의 이재우 그룹장이 30일 서울 중구 페럼타워 세미나실에서 이같이 말했다. IoT 시대 보안위협을 5G 이동통신서비스 보급이 더욱 심화시킬 수 있다는 관측이었다. 이날 이큐스트그룹은 IoT 해킹과 사생활 침해라는 주제로 이재우 그룹장, 김태형 랩장, 그리고 장형욱 전문위원, 세 사람의 발표를 진행했다.
이 그룹장과 함께 자리한 이큐스트그룹 소속 김태형 이큐스트랩장도 "5G 시대가 오면 홈네트워크에 연결된 기기 중에서도 타인의 집에 연결된 CCTV처럼 해커들이 흥미를 가지고 해킹을 시도할 대상이 많아진다"며 "이런 보안 위협은 모두의 일상생활에 피해를 입힐 수 있다는 것을 많은 사람들이 인지해 주길 바란다"고 당부했다.
■ 다크웹에서 너무 쉽게 접근할 수 있는 사생활 침해 사진·영상 자료들
장형욱 전문위원은 '다크웹(dark web)'이라 불리는 인터넷의 이면에서 벌어지고 있는 사생활 침해 실태를 설명했다. 과거부터 다크웹이란 공간이 있었지만, 사생활 침해 자료는 풍부해진 반면 그에 접근하기는 더욱 쉬워졌다는 점에서 상황이 심각하다고 지적했다.
다크웹은 마약 거래, 범죄 청부, 불법 자료 유통 행위가 벌어지는 인터넷 세계의 암시장에 붙은 이름이다. 범죄자들이 신분을 감추고 접속할 수 있는 익명 네트워크 '토르(Tor)'를 통해 드나들기 때문에 사법기관의 수사, 검거, 처벌이 어려운 영역이다.
이런 곳으로 당사자 모르게 타인의 신체 부위나 비밀스러운 일상 활동을 촬영한 자료를 이런 유포하는 행위는 과거부터 있었다. 하지만 이 문제엔 해킹당해 자료가 생성되는 원천이라 할 웹캠(webcam)과 IP카메라 등 'IoT 기기'의 보안 문제는 최근 몇년새 활발하게 대두된 상태다.
다크웹에 접근해 사생활침해 자료를 열람하기가 얼마나 쉬울까.
장 위원이 다크웹 접속 시작부터 사생활 침해 자료를 열람하는 시점까지의 과정을 녹화한 영상을 통해 이를 알 수 있었다. 일반 인터넷에서 '토르' 브라우저를 내려받은 뒤 특정 검색엔진으로 찾아가면, 닷어니언(.onion)이라는 최상위도메인을 쓰는 사이트로 넘어갈 수 있었다.
장 위원은 시연된 영상속 사이트 화면을 모두 '블러링(blurring)' 처리해 내용을 알아볼 수 없게 했다. 그 중 한 곳에선 한국에서도 이름을 들으면 알 만한 글로벌 스타나 유명인의 성(性)적으로 내밀한 모습이 담긴 사진과 영상을 인물별로 분류해 보여주고 있다고 설명했다.
시연된 포럼 형태의 한 사이트에선 일반인의 사생활 침해 영상이 공유되고 있었다. 이런 영상을 공유하는 게시판의 분류 명칭이 '웹캠' 또는 '스파이캠' 등이었다. 당사자가 아닌 타인이 기기를 몰래 설치해 비밀리에 촬영됐거나, 해킹된 기기 영상임을 짐작할 수 있는 대목이다.
장 위원은 이런 사이트를 찾고 접속하는 데 몇 분이 채 걸리지 않으며, 사진과 영상 형태의 사생활 침해 자료를 내려받는 방식도 일반 인터넷 커뮤니티나 정보성 웹사이트처럼 간단하다고 지적했다.
그는 다크웹에서 사생활 침해 자료를 열람하기 직전 단계까지 직접 현장 시연을 진행했다. 그러다가 그는 "여기서 한 단계 더 들어가면 저도 뭐가 나올지 몰라, 여기까지만 진행하겠다"며 시연을 중지했다.
다크웹으로 분류되는 문제 사이트 운영자들은 주로 선정적이거나 불법적인 자료 공유를 허용해, 방문자 트래픽을 늘리고 광고 수익을 얻으려는 이들이다. 그 과정에 이번에 시연된 것처럼 불특정 다수의 사생활 침해 사진과 영상이 별다른 제한 없이 유포되고 있는 실정이다.
일부 국가 정부는 대형 다크웹 사이트 접속을 직접 차단하는 조치를 취하기도 하고, 국제 사법 기관은 공조를 통해 운영자를 추적·검거하고 사이트를 폐쇄하고 있다. 하지만 이는 사생활 침해 피해 당사자 입장에서 피해 범위를 좁힐 뿐, 이미 발생한 문제의 근본 대책은 아니다. 다른 해법은 없을까.
■ 사생활 침해 진원지는 보안 취약한 IoT 기기…일반 인터넷에서도 심각
장 위원이 속한 SK인포섹 이큐스트의 동료 보안전문가들은 오히려 다크웹과 같은 곳에서 벌어지던 사생활 침해 현상이 IoT 기술과 서비스의 보급으로 더 광범위하게 벌어지고 있다고 지적했다. 이날 다크웹 시연에 앞서 소개된 온라인 IP카메라 검색사이트 '인세캠'이 그런 예다.
김태형 이큐스트랩장은 최근 수년간 보안이 허술한 IoT 기기의 사생활 침해 사례가 꾸준히 발생해 왔다고 밝혔다. 지난 2016년 등장해 세계 수많은 IoT 기기를 감염시키고 분산서비스거부(DDoS) 공격용 봇넷으로 전락시킨 악성코드 '미라이(Mirai)'가 신호탄이었다.
김 랩장은 "미라이 악성코드는 스스로 IP스캐닝 동작을 해 취약한 IoT 기기 정보를 수집하고 악성코드에 기기를 감염시켜 해커 명령에 따라 DDoS 공격을 날릴 수 있는 봇넷을 만들었다"며 "기존 IT기기 대상 기법을 그대로 IoT 기기에 활용해 공격한 사례로, 2016년 이래 지속 발생하고 있다"고 설명했다.
이어 그는 2017년 2월 카메라와 마이크가 달린 가정용 스마트 장난감 해킹 사건, 2017년 11월 발생한 중국제 로봇청소기 보안취약점, 2018년 6월 발생한 '베이비 모니터' 기기 해킹 사건, 11월 발생한 반려동물 관찰용 IP카메라 해킹사건, 2019년 1월 발생한 IoT 서비스용 디지털도어록 취약점 발견 사례 등을 소개했다.
글로벌 트렌드와 마찬가지로 한국에서도 IoT 보안 위협이 심각하게 대두된 상태다.
김 랩장은 한국인터넷진흥원(KISA) 자료 가운데 연도별 IoT 보안 취약점 신고 및 포상 건수 통계치를 인용하며 "2015년 이후 엄청나게 증가"했다고 평했다. 이전까지는 해커들이 IoT 기기 자체에 관심을 많이 갖지 않았는데, 최근 몇년 사이에 관심이 급증했다는 뜻이다.
또 2017년 정보보호실태조사에 따르면 국내 일반 사용자들이 가장 많이 쓰는 IoT기기는 제품 유형 68% 가량을 차지한 '스마트홈' 기기였다. 가정용 IoT기기는 일반적으로 타인에게 공개되지 않는 개인들의 일상과 밀접한만큼, 그 문제로 인한 사생활 침해 위험성도 큰 셈이다.
김 랩장은 IoT 기기 해킹시의 파급력을 가조하기 위해 봇넷 생성 악성코드 미라이와 사토리 유포 사례를 설명하면서 "IoT 기기를 노리는 해커들은 IoT 기기가 연결된 인터넷 공유기 가운데 제조사를 통해 그 관리자용 기본 계정과 비밀번호가 공개된 것을 노린다"고 지적했다.
실제 인터넷공유기 기본 관리 계정과 패스워드를 변경하지 않고 사용하다 사생활 침해가 발생한 사례도 소개됐다. 한 반려동물사이트가 해킹돼 그 사이트에 가입한 회원 DB의 개인정보와, 피해자가 사용중인 IP카메라 기기 정보가 드러났다. 해커는 이 정보로 사용자가 반려동물을 지켜보기 위해 설치한 카메라를 해킹해 사생활을 엿볼 수 있었다.
관리가 허술한 인터넷공유기뿐아니라 스마트폰과 앱으로 연동돼 동작하는 장난감 등 스마트기기도 해킹을 당해 악용된 사례가 있었다. 이 경우 해커는 악성코드를 만들어 스마트폰 앱을 감염시키고, 장난감 제어 기능을 장악해 그 카메라로 사생활 침해 영상을 녹화해 클라우드에 전송하는 수법을 썼다. 해당 스마트기기 제조사는 제품 판매를 중단한 상태다.
김 랩장은 "정보보호실태조사 결과에 따르면 IoT기기 보안 문제로 개인정보침해 위협이 증가하고 사생활 침해 소지가 커질 것 같다는 국내 사용자들 우려가 많이 있었다"면서 실제로 발생한 사례들을 통해 확인된 것처럼 "IoT 기기 해킹이 심각한 문제라는 걸 더 많은 사람들이 인지해야 하는 시대가 온 것"이라고 강조했다.
■ 개인·기업 사용자 보안인식 확보 우선 필요…홈IoT 넘어 산업IoT 위협도 대응해야
결국 손쉬운 해법보다는 IoT 제품과 서비스를 활용하고자하는 개별 사용자의 보안 인식, 기기와 서비스를 공급하는 기업의 보안성 강화 노력이 요구된다.
먼저 중국이나 북한같은 사이버검열국가가 아닌 한 정부와 사법당국이 일반 인터넷을 완전히 통제할 수는 없는 일이다. 표면상의 인터넷 공간조차 제한적으로밖에 통제할 수 없는 공권력이 다크웹의 사생활 침해 자료 유포를 사전에 원천봉쇄하는 건 불가능하다.
이론적으로는 사생활 침해 자료의 발생과 유출을 최소화, 차단해야 한다. 하지만 일상과 산업 현장에서 편리함을 앞세워 빠르게 보급되고 있는 IoT 기기의 확산을 제어하는 것도 비현실적인 시나리오다.
IoT 기기 제조사들이 제품의 기본 보안 수준을 높여 공급하고, 이를 활용하려는 개인과 조직에서는 보안 위협에 대비할 수 있는 최소한의 조치를 취해야 한다는 게 그나마 현실적인 조언으로 제시됐다.
김 랩장은 "개인은 웹캠 등을 사용시 직접 안전한 비밀번호를 지정하고 인터넷공유기의 펌웨어를 정기적으로 업데이트하는 노력이 필요하고, IoT 제품 및 서비스 공급 기업은 KISA에서 운영하고 있는 IoT제품 보안인증서비스 인증을 받아 보안성을 높이는 방법도 있다"고 언급했다.
이어 "정부 차원에서는 다음달부터 IP카메라와 네트워크에 연결된 CCTV의 초기 관리자 비밀번호를 개별 설정하고 변경해 사용하도록 의무화한 제도가 시행될 예정"이라면서도 "이 제도에 따라 국내 IoT기기 제조사들이 제품의 초기 비밀번호 개별 지정을 강제하도록 만들더라도, 시장에서 대다수 이용자와 기업이 이 규율을 따르지 않는 중국 등 해외 제조사 제품을 도입한다면 그 효과는 제한적"이라고 우려했다.
SK인포섹은 홈IoT 보안이슈에 따른 사생활침해뿐아니라, 산업제어시스템(ICS)이나 앞으로 조성될 스마트시티 인프라의 IoT 보안 문제에도 대응이 필요하다는 입장이다.
관련기사
- 거인 안랩도 신예 벤처도 '홈IoT 보안' 주목2019.01.30
- KISA "IoT 보안, 사후약방문 피해야"2019.01.30
- SK텔, 인포섹 등 인수..."보안서 1조원 이상 매출"2019.01.30
- SK인포섹, IoT 보안 가이드북 발간2019.01.30
회사는 단기적으로 이런 국내외 수요에 대응할 수 있는 전문 보안컨설팅, IoT 기기 대상 모의해킹 등 서비스 사업을 추진할 계획이다. 두 서비스부터 시작해 향후 IoT 대응 융합보안관제플랫폼 '시큐디움IoT', 산업안전서비스, 기존 보안솔루션의 영역확장, 세 분야를 더한 5대 사업 전략을 구체화한다. 이를 위해 최근 회사를 인수하며 융합ICT 전략을 강조하고 있는 SK텔레콤과의 장기적 협력방안도 검토할 전망이다.
이큐스트그룹을 총괄하는 이재우 그룹장은 "보안컨설팅과 모의 해킹을 묶어 우리의 IoT 보안방법론을 담은 보안가이드를 올해 출시할 계획이고, 이후 시큐디움IoT 플랫폼으로 위치정보서비스와 전력·스위치 센서 등을 분석하는 융복합서비스, 전력관리·중소빌딩관리 등 산업안전서비스 등을 함께 제공하고자 한다"며 "이 과정에 IoT 사업자와 협력하면서 이큐스트의 전문성이 큰 힘을 발휘할 것이라 본다"고 말했다.
