6월1일부터 사흘간 중국 베이징에서 열린 세계해킹대회를 다녀왔습니다. 당시 현장과 중국 보안산업을 들여다본 첫 번째 기사 ‘중국판 안랩’은 왜 베이징에 해커들을 초대했나 에 관심을 가져주신 독자분들께 감사드립니다. 이 대회에는 8개국에서 온 50여명의 화이트해커가 참여했는데요. 이들을 만난 김에 요즘 대세로 떠오른 IoT(사물인터넷) 보안 수준은 어떠냐는 질문을 던졌습니다.
사물인터넷(IoT) 기술을 적용한 서비스나 제품 출시가 이어지고 있다. 엘지유플러스(LGU+) 등 통신사들은 스마트폰으로 집 안 가전제품 및 각종 기기를 원격 조절하는 서비스를 선보였다. 또 삼성전자를 비롯한 가전업체들은 스마트폰으로 보관 음식물을 확인할 수 있는 냉장고 등을 내놓았다. 사진 엘지유플러스, 삼성전자 제공
일상으로 성큼 다가온 IoT
요즘 광고나 뉴스에는 IoT(Internet of Things·사물인터넷)라는 단어가 자주 등장합니다. 각종 사물에 센서나 작은 컴퓨터를 부착하고 유·무선 통신망을 통해 정보를 수집, 사람의 개입 없이도 실시간으로 정보를 주고받을 수 있는 기술을 뜻합니다. 현재 사물인터넷은 초기 단계로, 미래 고부가가치를 창출할 기술로 꼽히고 있지요. 이러한 기술이 적용된 사례로는 자율주행 자동차, 위치추적 시스템을 통한 사물 추적, 가스나 전기 사용량에 대한 원격 검침, 무선보안 시스템, 혈압 등 개인건강 체크 솔루션 등이 있습니다.
프로그램 보안 취약점을 찾는 화이트해커들은 현재 사물인터넷 서비스와 제품에 보안 취약점이 많다고 입을 모았습니다. 아이티 전문가를 위한 무료 웹사이트인 ‘스파이스웍스’가 최근 내놓은 보고서를 보면, 북미와 유럽, 중동과 아프리카의 보안전문가 440명 가운데 90%가량이 사물인터넷으로 보안과 사생활 침해 문제가 제기될 것이라고 답변했네요. 지난해 세계적으로 유명한 해킹보안 컨퍼런스 ‘블랙햇 USA’와 ‘데프콘’에서는 이러한 제품의 보안 취약점을 이용한 해킹 시연이 잇따랐습니다.
고속도로 달리던 자동차 해킹
지난해 미국의 화이트해커인 찰리 밀러와 크리스 발라섹은 이탈리아 피아트크라이슬러의 ‘지프 체로키’를 해킹하는 장면을 아이티 전문매체 <와이어드>를 통해 공개해 큰 파장을 일으켰다.
지난해 7월 미국의 화이트해커인 찰리 밀러와 크리스 발라섹이 공개한 영상을 보시죠. 이들은 소파에 앉은 채로 노트북을 사용하고 있습니다. 약 16㎞ 떨어진 고속도로에서 시속 112㎞로 달리던 이탈리아 피아트크라이슬러의 ‘지프 체로키’를 마치 장난감 자동차처럼 원격 해킹하는 중이었습니다. 이들의 공격으로 차량 와이퍼와 운전대가 움직였고, 라디오 채널과 음량이 바뀌었습니다. 속도도 갑자기 줄어들었고, 브레이크는 운전자 마음대로 작동하지 않았지요. 피아트크라이슬러는 이러한 보안 취약점이 있는 차량 140만대를 리콜하기에 이릅니다.
밀러와 발라섹은 이러한 해킹 장면을 공개한 직후 라스베이거스에서 열린 해킹보안 컨퍼런스 ‘블랙햇USA’에서 공격 방식을 설명했습니다. 차량에 설치된 인포테인먼트 시스템(통신기술로 휴대용 전자기기와 자동차를 연결해 교통 정보 및 엔터테인먼트 기능을 차 안에서 쉽게 사용할 수 있도록 한 체계) 취약점을 통해 자동차 내부망 진입이 가능했습니다. 여기서 다시, 자동차에 들어가는 일종의 컴퓨터인 전기제어장치(ECU·Electronic Control Unit)들을 서로 이어주는 통신망을 공격해 여러 기능을 조정했다고 합니다. 최근 개발되는 고급 자동차 안에는 70개 이상의 ECU가 들어가 있는데요. 운전자는 이러한 장치를 통해 에어백이나 운전대 등 다양한 기능을 전자식으로 편하게 조정할 수 있습니다.
영국 보안업체 펜테스트파트너는 해킹을 통해 일본 미쓰비시의 스포츠실용차(SUV) ‘아웃랜더 플러그인하이브리드’ 모델의 도난 경보음을 끌 수 있다고 밝혔다. 펜테스트파트너 홈페이지 캡처
최근엔 영국 보안업체 펜테스트파트너가 홈페이지를 통해 일본 미쓰비시의 스포츠실용차(SUV)인 ‘아웃랜더 플러그인하이브리드(PHEV·배터리 충전을 동력으로 하는 전기모터와 가솔린 엔진을 함께 사용)’ 모델도 해킹을 당할 위험이 있다고 밝혔습니다. 해당 자동차 이용자들은 스마트폰에 애플리케이션을 내려받아 원격으로 헤드라이트나 에어컨을 켜고 끌 수 있습니다. 앱과 자동차는 차량 내 근거리 무선망(와이파이)과 연결돼 있는데 와이파이 접속에 필요한 사전 공유키가 너무 간단해 이를 훔치는 것은 어렵지 않았다는군요. 앞서 올해 3월 미국 연방수사국(FBI)과 미국 도로교통안전국(NHTSA)은 인터넷으로 연결된 자동차(커넥티드카)에 대한 해킹 가능성이 커지고 있다고 경고했습니다.
날아다니던 드론은 추락
지난해 미국 보안업체 ‘플래닛주다’ 연구원이 프랑스 패롯사 ‘A.R. 드론’ 을 해킹하는 영상
지난해 라스베이거스에서 열린 해킹보안 컨퍼런스 ‘데프콘’에서는 날아다니던 드론이 추락했습니다. 데프콘은 1993년부터 해마다 열리고 있는 세계 최대 규모의 해킹 축제로, 2015년부터 ‘사물인터넷 빌리지’란 행사를 마련했는데요. 인터넷과 연결된 기기들이 얼마나 안전한지 짚어보자는 의도였지요. 이 행사에서 미국 보안업체 ‘플래닛주다’ 소속 연구원은 프랑스 패롯사의 상업용 드론(무인비행기)인 ‘A.R. 드론’을 해킹해 마음대로 조정할 수 있음을 보여주었습니다. 당시, 삼성전자가 내놓은 스마트 냉장고(제품명:RF28HMELBSR)의 보안 취약점도 드러났습니다. 이 냉장고 앞에는 근거리 무선통신이 가능한 모니터가 설치돼 있고, 구글 캘린더 등을 사용할 수 있도록 돼 있는데요. 영국 보안업체 펜테스트파트너스는 이러한 냉장고에서 사용자의 지메일에 로그인할 수 있는 권한 정보를 훔칠 수 있다고 밝혔습니다.
보안문제, 당신의 안전을 위협할수도
정보통신기술 발전으로 모든 사물이 모바일과 인터넷을 통해 연결돼 서로 소통하는 ‘초연결사회(Hyper Connected Society)’가 도래할 것이라고 합니다. 글로벌 정보통신(IT) 시장조사업체 가트너는 2015년 네트워크망으로 연결된 사물인터넷 기기가 49억개였으나 2020년에는 약 208억개에 이를 것이라고 전망했습니다.
이러한 미래에 발생할 수도 있는 보안 사고는 민감한 개인정보나 중요한 데이터 유출에 그치지 않습니다. 앞서 살펴본 것처럼 자동차나 드론, 국가 기반시설 등이 해킹돼 오작동할 경우 사람들의 안전을 위협하는 상황이 벌어질 수도 있지요. 올해 초, 영국 런던 남부지역에 위치한 윈즈워스 감옥 주위 폐쇄회로텔레비전(CCTV)엔 검은색 포장물을 매단 채 상공을 맴도는 드론이 포착됐습니다. 이 드론은 감옥의 창문에 접근했고, 한 수감자는 막대기로 포장물을 낚아채려는 시도를 했습니다. 포장물 안에는 약물과 휴대전화가 있었습니다. 지난 5월 영국 경제주간지 <이코노미스트>는 이 사례를 보도하며, 드론이 폭발물이나 생화학 무기를 운반하는 수단이 될 수도 있다고 우려했습니다.
현존 보안기술 적용 쉽지않아
그동안 컴퓨터 기술이 발달하면서, 보안기술 역시 발전해왔습니다. 그럼에도 일상에서 접하기 쉬워진 원격 조정 가전제품, 자동차 등에 대한 보안이 쉽지 않다는데요. 왜 그럴까요? 미국 보안 벤처업체 ‘씨어리’를 공동창업한 박세준(27)씨 설명입니다.
“사물인터넷 기기들은 임베디드 기기라고 해서, 웬만한 컴퓨터보다 낮은 사양에서 돌아갑니다. 그러다 보니 지난 10년 동안 개발된 보안기술을 적용하기 쉽지 않아요. 저사양이기 때문에 이러한 기술을 적용할 경우, 기기의 속도가 느려지거나 배터리가 빨리 닳는 상황이 발생하거든요. 이미 해결된 문제를 사물인터넷 기기들에 맞춰 다시 해결해야 합니다.”
사물인터넷은 다양한 스마트 기기와 네트워크를 활용해 서비스를 제공하므로 광범위한 보안 취약점이 나타날 수 있습니다. 지난 1일 중국 베이징에서 열린 세계해킹대회에 심사위원으로 참여한 보안 벤처업체 ‘폰젠’ 공동창업자 슈하오(33)는 자동차 보안 문제를 놓고, 윈도우즈가 처음 등장했을 때와 비슷한 상황이라고 전했습니다. 그만큼 취약점이 많다는 의미입니다. 과거엔 자동차를 공격할 수 있는 진입 경로가 별로 없었습니다. 그러나 자동차가 인터넷과 연결되고 다양한 인포테인먼트 기능을 활용할 수 있는 만큼 진입 경로가 늘었습니다. 이러한 보안 취약점은 생각보다 천천히 해결되고 있습니다. 자동차 제조사의 업데이트 주기가 느리기 때문입니다.
2014년 1월 케이비(KB)국민카드와 엔에이치 농협카드, 롯데카드에서 1억건이 넘는 고객정보가 유출된 바 있다. 이정아 기자 leej@hani.co.kr
“소비자들, 기업에 보안조처 요구하라”
2014년 카드사 개인정보 대량유출 사건을 비롯해 우리 사회에서는 크고 작은 보안 사고가 반복돼 왔습니다. 기업과 공공기관이 광범위한 개인정보를 활용하고 있으면서도 여전히 보안에 소홀하다는 반증이지요. 김승주 고려대학교 정보보호대학원 교수는 사물인터넷 기기나 서비스의 경우, 설계 단계부터 보안을 고려해 만들어야 하지만 현실은 그렇지 못하다고 지적합니다.
“모든 아이티 산업군에서 제품을 만들 때, 일단 시장 진입을 목적으로 두지 안전하게 만든다는 목표를 갖고 있지 않습니다. 국외 제품의 경우 보안 문제가 없는 건 아니지만, 국내 제품보단 안전하게 만들어져요. 문제가 발생하면 (소송 등으로 인해) 매우 큰 금전적 손해가 발생하기 때문입니다.”
올해 3월 유럽 최대 자동차 동호회이자 독일 운전자들을 대변하는 단체인 아데아체(ADAC)는 현대차 ‘산타페 CRDi’ , 기아차 ‘옵티마', 쌍용차 ‘티볼리 XDi’ 등을 비롯한 24개 차종이 해킹에 취약하다고 밝혔습니다. 운전자가 차문을 여닫을 수 있는 스마트키를 분실하지 않더라도 제3자가 주파수를 조작해 스마트키 기능을 이용할 수 있다는 겁니다. 이 단체는 4년째 해킹을 지속하고 있지만 기업들이 해결책을 마련하지 않는다고 비판했습니다. 지난해 지프 체로키의 보안 취약점을 알린 밀러와 발라섹은 소비자들에게 자신의 권익을 주장하라고 당부합니다.
“자동차 제조사들은 항상 ‘우리는 좀더 안전해졌고 문제 해결을 위해 열심히 하고 있다’고 말합니다. 그러나 그들은 수년째 같은 이야기를 하고 있습니다. 소비자들이 안전을 보장받기 위해 할 수 있는 유일한 일은, 업체에 보안 조처를 요구하는 것입니다.”
베이징/박현정 기자 saram@hani.co.kr▶ 바로 가기 : 해킹대회 출장기 (상) ‘중국판 안랩’은 왜 베이징에 해커들을 초대했나
','')){kind=link}
','')){kind=link}
','')){kind=link}
','')){kind=link}
','')){kind=link}
기사공유하기