사물인터넷과 사물인터넷 보안

홈페이지 : CIO

기사제목 : 강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안

기사입력날짜 : 2016-09-08

링크 : http://www.ciokorea.com/news/31176

원문 :

시장 조사기관인 가트너에서는 인터넷에 연결되는 IoT 기기가 2020년에 208억 대에 이를 것이라는 예측을 내놓았다. 세계적인 IT업체인 구글뿐 아니라 전통적인 완성차 업체인 다임러, 아우디, BMW 등이 선도하는 자율주행차 역시 전형적인 사물인터넷 제품이다. 스마트 제품이 인터넷에 연결되면서 그에 따른 부작용에 대한 우려가 커지고 있다. 대표적인 것이 IoT 제품에 대한 해킹에 의한 원격 조종이나 프라이버시 침해이다.

[1]

미국 유명 잡지인 와이어드의 기자가 직접 원격 모의해킹을 체험하여 쓴 기사를 보면, 그가 운전한 세계적인 자동차 회사의 지프차가 원격에서 해킹되어 자신의 의사와 관계없이 핸들이 움직이고 브레이크가 작동하지 않은 상태에서 속도 역시 원격에서 조종되어 달리던 지프차가 아래의 그림과 같이 고속도로를 벗어나 멈춰 섰다. 무려 10마일(약 16킬로미터)이나 떨어진 곳에서 해커가 이동통신망을 통해 지프차에 내장된 텔레매틱스 시스템에 접속하고 다시 주행장치에 진입하여 차량을 원격 조종한 것이다. 이 시연으로 인해 크라이슬러사는 무려 140만대를 리콜하게 되었고, 완성차 업계에서 보안을 강화하게 된 계기가 되었다.

[2]

올해 4월에는 전라남도 여수시의 한 버스정류장에 설치된 버스정보시스템 단말기에서 한밤 중에 70분 동안 음란물이 방영되는 사고가 발생하였다. 경찰의 연락을 받은 담당자가 원격제어로 음란물 동영상을 차단하려고 했지만 범행자가 원격에서 이를 무력화시켰다. 사고 발생 경로로서 (1) 범행자가 단말기에 있는 USB 인터페이스를 통해 직접 접속한 경우 (2) 권한 있는 관리자가 (실수로) 해당 동영상을 재생한 경우 (3) 범행자가 보안시스템을 뚫고 해당 단말에 접속한 경우로 추정되었는데, 경찰의 수사 결과 (3)의 경로를 통해 사고가 발생했음이 드러났다. 즉 해외 IP를 통해 해당 단말기에 접속한 범행자가 단말기의 인증 절차를 우회한 뒤 동영상 재생 프로그램을 설치하여 동영상을 반복 재생했다는 것이다.

[3]

잘 알려진 IoT 플랫폼인 SmartThings에서도 보안취약점이 있었다. 미국 미시건대학팀은 자신들의 연구에서 SmartThings에 (1) 도어락 코드를 은밀히 심을 수 있고 (2) 현 도어락 코드를 훔칠 수 있으며 (3) 가정의 휴가 코드를 무력화할 수 있고 (4) 화재 경보를 위조할 수 있는 취약점이 있음을 개념증명 코드로 입증하였다.

첫째, SmartThings가 기본적으로 권한 분리 모델(Privilege separation model)을 구현하여 그것을 이용하는 응용 앱들의 권한을 제한하였으나 그것이 충분히 세분화되어 있지 않아 결과적으로 앱이 과도한 권한을 사용할 수 있다는 점, 둘째, 한번 권한을 허용받으면 모든 이벤트를 읽을 수 있고, 이벤트를 위조할 수 있는 등 중요 정보가 오가는 이벤트 하위시스템에 보안취약점이 있기 때문에 발생하는 것으로 분석됐다. 이러한 IoT 플랫폼의 보안취약점은 그것을 기반으로 개발되는 모든 제품과 스마트폰 앱에서 발생할 수 있고, 그 피해가 IoT 제품을 이용하는 가정에 고스란히 돌아간다는 점에서 큰 위험이 아닐 수 없다(여기서는 주로 개인ㆍ가정용 IoT 제품의 문제만 다뤘다. 산업용 IoT 제품의 보안위험은 다른 차원의 문제를 가져올 수 있다).

이를 종합해 보면 IoT 제품에서의 보안 문제는 다음과 같은 특징이 있음을 알 수 있다.

첫째, IoT 제품의 보안취약점이 이용자의 생명과 재산의 안전 문제로 이어질 수 있다는 점이다. IoT 제품은 사이버 세계와 물리적 세계 사이의 '다리' 역할을 하고 있기 때문에 사이버상의 '보안' 문제가 현실 세계의 '안전' 문제로 나타날 수 있다. 기존 인터넷 및 모바일 시대에도 개인의 거주지나 개인 식별정보가 그 사람의 생명과 재산에 해를 끼칠 수 있다는 점이 지적되면서 개인정보 보호의 중요성이 강조되었으나, 사물인터넷에서는 발생 가능성이나 피해 규모가 훨씬 클 것으로 보인다.

둘째, 24시간 365일 이용자와 밀착해 있는 개인ㆍ가정용 IoT 제품은 제품에 따라 이용자의 신체정보나 행위정보, 가정정보 등 프라이버시 데이터를 끊임없이 모니터링, 수집하여 클라우드로 전송하고, 그 현황이나 분석결과를 이용자가 열람하도록 구성되어 있다. 이용자가 입력한 데이터를 사업자가 이용하는 기존 환경과는 달리 사물인터넷에서는 제품에서 이용자를 모니터링하여 지속적으로 수집한다는 점에서 수집된 프라이버시 데이터의 양이나 질이 차원을 달리할 것이기 때문에 데이터 유출 사고가 발생할 경우 피해 또한 현재와는 비교가 되지 않을 것으로 예상된다.

셋째, 리콜에 따른 IoT 제품 제조업체의 경제적 피해가 클 수 있다는 점이다. IoT 제품은 펌웨어로 기능이 구현되어 있는 경우가 많은데, FOTA(Firmware Over The Air) 같은 원격 패치 기능과 업데이트 인프라가 구축되어 있지 않다면 결국 리콜이 발생해 막대한 피해를 볼 수 있다. 제조업체에서는 가능하면 원격 패치가 가능하도록 제품을 구성해야 하고, 그렇지 않은 부분이 있다면 기존 서비스센터와 연계하여 부품교체나 패치를 효율적으로 처리할 수 있는 방안을 강구해 놓아야 할 것으로 판단된다.

코멘트 :

IoT란 예전부터 현재에 이르기까지 끊임없이 화두가 되고 있는 주제이다. 하지만 보안 문제 역시 끊임없이 나오고 있다. 본문에서 얘기한 스마트카 역시 해킹 사례가 빈번하게 나오고 있다. 아무래도 기기에 부착되다 보니 무게를 줄이기 위해 소프트웨어 크기를 줄이게 되고 자연스럽게 보안성도 떨어지는 것이 아닐까 싶다.

IoT에 대한 사례 중 하나로, 이것은 영화에 나왔던 이야기일 뿐이지만 "인공 심장 해킹"에 대한 이야기도 있다. 생명을 유지시켜주는 기계인 인공 심장을 해킹하여 심장박동수를 임의로 조절하여 당사자를 협박한다는 내용이다. 마냥 허황된 이야기 같지 않아 보안에 대한 심각성을 다시 한 번 깨닫게 해준다.

앞으로도 IoT 시장은 빠르게 발전되고 사용자들에게 편리함을 안겨줄 것이다. 그만큼 보안이 중요해 질 수밖에 없는데 대부분의 사용자들은 막연히 보안이 잘 되어있겠지 혹은 내 일이 아닐거라 생각한다. 기술도 기술이지만 소비자의 인식이 더 중요하다. 따라서, 기술자들이 보안 기술을 향상시키는 만큼 소비자들은 보안에 대한 지식을 쌓고 인식을 강화시켜야 하지 않을까 싶다.