당신의 ‘홈 스마트 홈’은 안전합니까

수십억 대의 가전제품이 인터넷에 연결되는 사물인터넷이 해킹에 안전할까. 보안이 뚫리면 어떤 피해가 발생할까
스마트폰과 와이파이 지원 스피커 말고도 ‘사물인터넷’을 구성하는 기기는 무수히 많다. 제조업체들은 가전제품을 인터넷에 연결하려 혈안이 됐지만 보안에는 크게 신경 쓰지 않는다.

2009년 소비자가 와이파이 기반 자동온도조절기, 출입문 카메라와 현재 ‘사물인터넷’을 이루는 기타 초기 개발품들을 사들이기 시작했을 때 컴퓨터 과학자 앙 추이는 웹에서 “다소 취약한” 임베디드 기기(특정 기능을 수행하는 소프트웨어가 내장된 기기)들을 스캔해 봐야겠다는 생각이 들었다.

그가 말하는 ‘다소’란 공장에서 입력된 이용자명과 비밀번호를 이용하는 기기를 의미했다. ‘1234’ 같은 비밀번호와 ‘이름’ 같은 뻔한 이용자명 등이다. 이런 암호 중 다수는 인터넷에 자유롭게 유통되는 매뉴얼에 담겨 컴퓨터 프로그램을 통해 자동으로 쉽게 스캔할 수 있었다. 따라서 추측할 필요조차 없었다.

추이는 스캔을 통해 취약하고 공개적으로 접근 가능한 기기를 144개국에서 100만 대 이상 발견했다. 그는 이 표본을 토대로 인터넷에 연결된 모든 기기 중 사실상 빗장을 열어놓고 해커의 입장을 기다리는 비율이 약 13%에 달한다고 추산했다. 더 놀라운 사실은 4개월 뒤 이들 기기 중 96%가 똑같은 보안 취약점을 갖고 있었다는 점이다. 추이의 경고는 뻔한 일이라는 듯한 전달방식에서도 그에 못지않게 섬뜩했다. “널리 보급되고 종종 잘못 설정된 임베디드 네트워크 기기들은 대단히 매력적인 공격 표적이다.”

그 뒤 10년 사이 인터넷에 연결된 취약한 기기 숫자가 7배나 증가했다. 그런 폭발적인 증가는 스마트 기기의 과대포장에 편승한 수요 증가에서 비롯됐다. 제조업체들은 요즘 거의 모든 사물에 주변 세상과 무선으로 원활히 소통하는 작은 컴퓨터를 내장하는 데 온 정신이 팔린 듯하다. 이 같은 ‘스마트’ 혁명에선 켜기·끄기 스위치나 위·아래 버튼이 있는 기기는 거의 휴대전화나 음성 센서로 원격 제어할 수 있다.

소파에서 일어나지 않고 아마존 에코에 무엇을 원하는지 말만으로 난방 온도를 높이고 조명을 어둡게 하고 건조기를 작동시키고 싶은가? 베이글 빵이 튀어나올 때 토스터가 TV 화면에 메시지를 띄우기 원하는가? 캐서롤 요리가 사전 설정한 180℃에서 20분간 조리된 후 지금은 100℃에서 보온하고 있음을 오븐이 알려주기 원하는가? 사물인터넷은 이 모든 일을 실현할 수 있다.

인터넷에 연결된 모든 기기의 약 13%가 해킹 공격에 취약한 공장설정 비밀번호를 이용한다. (오른쪽부터 시곗바늘 방향으로) 구글의 네스트 자동온도조절기, 알바로 카르데나스 컴퓨터학 교수, 랩톱과 와이파이 지원 기기들. / 사진:JOONGANG PHO

바이브레이터에 속았다고?

이처럼 편리한 무선 혁명이지만 어두운 측면도 있다. 해킹을 훨씬 뛰어넘는 위험이 도사린다. 제한적인 디지털 ‘가상’ 세계에 한정된 전통적인 ‘컴퓨터 인터넷’과 달리 사물인터넷은 실물 세계에 직접 연결된다. 따라서 걱정스러운 의문들이 떠오른다. 새로 나온 토스터 오븐, 보안 카메라 또는 스마트 시티가 우리를 해칠 의도로 사용된다면 어떻게 될까? 정말로 사물인터넷을 신뢰할 수 있을까? 그 마지막 질문에 대한 대다수 사이버보안 전문가의 답변은 분명하다. 데이터 운용과 보호를 전문으로 하는 서니베일 소재 IT 업체 램버스의 벤 리바인 제품관리·암호화 전무이사는 “지금으로선 내 답은 한 마디로 ‘노’”라고 말했다.

주로 정보기술이나 컴퓨터 과학에 대한 배경지식을 가진 기술자들이 개발한 ‘컴퓨터 인터넷’과 달리 그 기기들을 생산하는 많은 제조업체에는 완벽한 시스템의 개발에 필요한 전문기술이 부족하다. 그 중요성조차 인식하지 못하는 기업도 있다. 결과적으로 악행에 따른 피해 가능성이 무한한 듯하다. 추이를 비롯한 사이버보안 전문가들이 여러 차례 입증한 사실이다.

최근 몇 달 사이 이들 중 몇몇 창의적인 테스트를 알바로 카르데나스 교수의 실험실에서 했다. 그는 지난해 텍사스대학(댈라스)의 제자들에게 각종 사물인터넷 기기를 해킹하라는 과제를 던져줬다. 대표적으로 드론을 작동시키고 시스템을 장악한 뒤 가미카제 스타일로 무고한 피해자를 공격하거나 이웃의 동영상과 음향을 스트리밍하는 데 사용할 수 있음을 입증했다.

업데이트 받을 수 있도록 인터넷에 연결된 말하는 작은 인기 공룡 완구도 해킹했다. 그 뒤 완구의 시스템을 장악해 그것으로 아동을 모욕하고 부적절한 대화를 사주하고(완구의 믿음직스런 목소리를 이용해) 또는 아동을 원하는 대로 움직일 수 있음을 입증했다. 인터넷 연결 카메라의 시스템을 장악해 다른 사람의 가정을 염탐할 수 있음도 보여줬다. 해외 파견 장병들이 파트너와 원격으로 가상 관계를 갖는 데 때때로 사용하는 ‘민감한 기구(바이브레이터)’의 존재도 확인했다. 그들은 사적인 용도에 관한 정보를 입수할 뿐 아니라 ‘신뢰하는 파트너’를 가장해 ‘원격 성폭행’도 할 수 있다고 경고했다.

카르데나스 교수는 테스트 결과를 기기 제조업체와 CERT 협력센터에 통보했다. 연방정부의 지원을 받아 기업계·정부와 공동으로 인터넷 보안을 개선하는 비영리 연구개발 단체다. 그 뒤 그가 전기전자공학회(IEEE)에 제출한 논문도 올가을 특별호에 소개됐다.

그들은 ‘이런 공격은 보안과 프라이버시에 관한 우리의 문화적 가정에 사물인터넷 기술이 어떤 과제를 안겨주는지 보여주며 사물인터넷 개발자·설계자들이 보안·프라이버시 관행에 더 많은 주의를 기울이는 자극제가 되기를 희망한다’고 썼다(논문이 발표된 뒤 드론 업체들을 제외한 모든 제조업체가 대책을 마련하고 취약점을 개선하려 시도했다).

2018년 말까지 세계적으로 230억 대 이상의 사물인터넷 기기가 설치됐다. 이들 스마트 기기를 구입하는 소비자는 대부분 애써 와이파이에 연결하지 않는다. 사실상 오프라인 상태로 남아 해커의 손길이 미치지 않는다는 의미다. 그러나 제조업체들이 인터넷 연결의 이점을 계속 홍보함에 따라 앞으로는 달라질지 모른다.

그리고 2025년에는 기기 숫자가 750억 대로 3배 이상 증가할 것으로 예상된다. 취약한 기기 숫자가 그 정도로 많아지면 해커들이 강력한 지렛대를 갖게 된다. 추이가 당초 작성한 논문에서 아이디어를 얻었을지도 모르는 2016년의 미라이 공격은 그런 위협이 얼마나 심각해졌는지를 잘 보여준다.

뉴저지주 출신의 조용하고 사교성이 부족한 대학 중퇴자 파라스 자는 비디오 게임 마인크래프트의 팬들에게 자신의 개인 컴퓨터 서버 공간을 임대해 친구들끼리 사적으로 게임을 즐길 수 있는 사업으로 큰 수익을 올렸다. 재미있을 듯하지만 경쟁이 치열한 사업이다. 자를 비롯한 라이벌들의 일반적인 수법은 의심하지 않는 사람들의 가정용 컴퓨터를 해킹해 악성 코드로 시스템을 장악하고 라이벌의 기기로 원치 않는 메시지와 데이터를 감당할 수 없을 만큼 많이 쏟아부어 기능을 마비 시키고자 하는 이른바 분산서비스거부공격(DDoS)이다. 의심하지 않는 고객이 그 ‘불안정한’ 서비스에 불만을 품으면 다른 서비스의 손쉬운 유치 표적이 된다.

2016년의 미라이 공격은 사물인터넷이 해킹에 얼마나 취약할 수 있는지를 보여줬다. 그것은 비디오게임 마인크래프트 (우측 사진)에 사용되는 소규모 서버에 대한 분산서비스거부공격으로 시작돼 프랑스의 대형 인터넷 업체 OVH (왼쪽 사진)에 대한 공격으로 확산됐다. / 사진:PHILIPPE HUGUEN/AFP/GETTY, CBC.CA

급속도로 커지는 위력

2016년 자는 온라인에서 만난 마인크래프트 친구 2명과 함께 라이벌들보다 한 발 앞서 나가기로 했다. 그들은 데스크톱 컴퓨터뿐 아니라 무수히 많은 보안 카메라, 무선 라우터, 디지털 비디오 녹화기(DVR), 가전제품과 기타 사물인터넷 기기까지 해킹했다. 앞서 추이가 그랬던 것처럼 자와 친구들은 인터넷을 스캔해 취약한 기기를 찾아내는 프로그램을 개발했다. 그러나 추이와 달리 이들은 실제로 기기에 악성 코드를 심어 시스템을 장악했다. 스마트 기기들의 확산에 편승해 자의 좀비봇 군단은 그의 상상을 뛰어넘을 만큼 급속도로 불어났다. 첫날이 지날 무렵 6만5000대의 기기를 장악했다. 일부 추산에 따르면 그의 좀비 군단은 60만 대에 달했다.

일본 TV 시리즈의 이름을 따 ‘미라이(미래)’라는 닉네임을 가진 그 공격의 위력을 알게 되자 자는 피라미 라이벌들을 쓰러뜨리는 데 만족하지 않았다. 라이벌들이 그의 공격을 방어하는 데 사용한 인기 툴이 자리 잡은 프랑스 텔레콤 업체 OVH에도 그 새로운 무기를 겨냥했다. 결국 경찰에 꼬리를 밟히고 말았다. 자는 860만 달러의 벌금형과 연방수사국(FBI)을 위해 2500시간의 사회봉사 명령을 받았다.

지금은 레드 벌룬 시큐리티의 창업자 겸 CEO가 된 추이(36)는 티셔츠, 구슬 목걸이, 그리고 뒷머리를 동그랗게 만 남자 쪽진머리(man bun) 차림으로 해커 콘퍼런스에서 종종 강연하고 적대적인 사이버 세계에서 살아남는 보안법을 기업들에 컨설팅하며 안정적인 삶을 영위한다. 그는 자신이 논문에서 밝힌 취약점뿐 아니라 필시 더 큰 피해를 유발할 수 있다고 보는 다른 많은 구멍을 메우기 위한 조치가 별로 이뤄지지 않은 데 놀라워한다.

미라이 공격의 표적이 됐던 회사 같은 자금 두둑한 대기업을 대상으로 하는 보안업체들은 DDoS 공격으로부터 고객의 서버를 보호하는 새로운 방법을 찾아냈지만 상당수 사물인터넷 기기 제조업체는 우리 나머지 사람들을 사이버 공격으로부터 보호하기 위한 조치를 거의 마련하지 않고 있다. 좀비 기기 모집뿐 아니라 심각한 프라이버시와 안전 우려를 제기하리라고 보안 전문가들이 주장하는 염탐·사보타지·보안허점 등이다.

그런 방치는 급성장하는 사물인터넷 기기 시장에서 시장점유율을 넓히려는 골드러시 멘털리티에서 비롯된다고 추이는 믿는다. 지난 5년 사이 사물인터넷에 대한 과대포장이 극에 달하면서 벤처자금을 조달한 소비가전 분야의 많은 스타트업(심지어 일부 대형 제조업체)이 서둘러 인터넷 연결기능을 추가해 제품을 출시하며 보안허점의 보완은 나중으로 미룬다. 보안 문제를 전혀 고려하지 않는 기업도 있다. 추이는 “보안에 신경 쓰려면 시간과 자원을 투자해야 한다”며 “그러나 벤처자본이 많이 투입돼 시장에서 좋아할 만한 사물인터넷 기능을 가진 제품을 하루라도 빨리 출시하고자 한다”고 말했다.

그 자금은 주로 신제품 개발에 쓰인다. 카르데나스 교수는 “지금으로선 보안에 관심을 가질 만한 인센티브가 없다는 점이 문제”라며 “이들 제품에서 보안은 대체로 후순위로 밀린다”고 뉴스위크에 말했다. 대다수 소비자는 그런 위험을 인식하지 못해 보호를 요구하지 않는다. 그리고 기기 제조업체들도 보안기능을 제공할 의무가 없다.

해커들은 자동차나 주택의 한 기기에 침투한 뒤 거기서 전체 네트워크에 접근할 수 있다. (위 왼쪽부터) 지프 체로키의 사물인터넷 기기들이 해킹당했다, 요즘엔 많은 완구가 인터넷에 연결됐다, 지난해 12월 미국 사법부는 중국인 2명을 해킹 혐의로 기소했다. / 사진:US-FIAT-CHRYSLER-ANNOUNCES-ITS-CUTTING-OVER-1,300-JOBS-AT-BELVID, SCOTT OLSON-GETTY IMAGES-AFP /YONHAP, MANUEL BALCE CENETA-AP/YONHAP

커다란 취약점들

조지아공과대학 전기·컴퓨터공학대학의 마노스 안토나카키스 부교수와 오마르 알라위 과학연구원도 한 실험실에서 떠오르는 사물인터넷의 커다란 보안 취약점을 조사해 왔다. 안토나카키스 부교수는 “몇몇 경우 최소한 보안을 제대로 갖추려 애쓰는” 유명 공급업체 그룹도 있지만 대기업들조차 현 시장에 새 사물인터넷 제품을 서둘러 출시해야 한다는 압박을 받는다고 평한다. 그는 “보안을 제대로 하려면 많은 품질보증과 검사, 침투분석, 취약점 분석이 필요하다”고 말한다. 그러나 출시를 서두르다 보면 “검증된 보안관행에서 크게 벗어난다.”

대형 IT 업체 중 다수는 사물인터넷 기기 분야에서 가장 빨리 성장하는 업종 중 하나인 ‘스마트 홈’ 기기 시장의 개척에 집중적으로 투자해 왔다. 2014년 디지털 자동온도조절기 제조업체 네스트를 32억 달러에 인수한 구글은 아마존과 함께 스마트 허브 시장을 지배하는 기업에 속한다. 구글은 그 뒤로 네스트를 스마트 초인종과 잠금장치 같은 보안 시스템과 화재경보기까지 포함하는 디지털 허브로 키웠다. 삼성전자는 2014년 2억 달러에 스마트씽스 허브를 인수해 지금은 에어컨·세탁기·TV에 연결한다. 애플은 자사 스마트스피커 홈팟의 각종 모델을 통해 전달되는 음성명령으로 다수의 기기를 통제할 수 있는 홈 키트를 보유한다.

이런 시스템이 일단 설치되면 갈수록 늘어나는 제조업체의 기기들이 그 홈 네트워크에 추가될 수 있다. GE·보슈·허니웰 같은 유명한 가전제품 제조업체 등이 그런 기기를 만든다. 벨킨은 크록-팟 위모 스마트 슬로 쿠커, 스마트 미스터 커피 메이커, 스마트 홈 가습기를 포함하는 인터넷 연결 전자제품 라인을 생산한다. 수익성이 상당히 큰 시장이다. 자산운용 컨설팅 업체 아이프라퍼티 매니지먼트에 따르면 올해 말까지 전체적으로 이전 12개월 동안 20억 대 가까운 소비가전제품이 판매돼 4900억 달러가 넘는 이익이 창출될 전망이다.

안토나카키스 부교수와 알라위 연구원은 그런 위험(그리고 소비자가 새 사물인터넷 제품을 구입할 때 질문해야 하는 문제들)에 이목을 집중시키기 위해 노스캐롤라이나대학(채펄힐) 연구원들과 공동으로 평가 시스템을 개발해 각종 사물인터넷 기기의 보안을 평가하기 시작했다. 그리고 놀랍게도 심지어 최고 기술수준의 IT 업체 일부가 생산한 기기와 사스템에서도 커다란 취약점들을 발견했다.

사물인터넷 기기들의 취약점은 미라이 공격에서 노출된 취약점인 패스워드의 보안 구멍 수준을 크게 뛰어넘는다고 그들은 주장한다. 사물인터넷 기기가 연결된 홈 네트워크로 접근해 직접 시스템을 장악할 수도 있으며 가장 약한 연결고리가 곧 홈 네트워크의 보안수준을 결정한다. 이는 각 기기에 고유의 비밀번호와 이용자명이 있다고 해서 반드시 안전하지는 않다는 의미다. 일단 해커가 하나의 취약한 기기를 통해 홈 네트워크에 침입하는 길을 찾아내면 그 경로는 종종 나머지 네트워크로 향하는 길을 활짝 열어준다.

그들은 사물인터넷 기기의 안전을 위해서는 제조업체들이 4개 분야의 취약점을 메워야 한다고 주장한다. 기기로의 직접적인 접근, 그것을 작동하는 모바일 앱, 홈 네트워크와의 통신 방식, 그리고 많은 경우 제조업체가 업데이트를 자동 설치하고 이용자 데이터를 수집하거나 새 서비스를 제공하는 데 사용하는 클라우드 기반 서버 등이다.

이 모든 일을 제대로 하기는 쉽지 않다. 공급업체가 이 4개 분야 모두의 보안을 강화하려면 ‘안전한 개발을 아는’ 뛰어난 모바일 앱 개발팀, ‘대단히 우수한 임베디드 시스템 개발과 보안 개발을 담당하는 시스템 팀’, 그리고 기기가 추가적인 위험에 노출되지 않고 운영될 수 있도록 하는 보안 클라우드 ‘백엔드’를 설계할 수 있는 클라우드 전문가들이 필요하다고 알라위 연구원은 설명한다. 끝으로 효율적이고 안전한 인터넷 프로토콜을 어떻게 구축하는지 그리고 어떤 프로토콜을 피해야 하는지에 관한 네트워크 지식을 보유한 사람도 필요하다.

“이 모두를 유용성과 균형을 잡아야 한다”고 알라위 연구원은 말한다. “따라서 단순히 정신적으로도 감당하기가 정말 어려워진다는 것을 알 수 있다. 훌륭한 아이디어를 생각해 낸 스타트업 팀이 제품을 시장에 출시하고자 할 때 대체로 이 모든 노하우를 갖추지 못한 소규모 팀인 경우가 일반적이다. 그러나 대형 공급업체라도 이런 문제 중 일부는 정말로 포착해 관리하기가 정말 힘들다.”

실제로 안토나카키스 부교수와 알라위 연구원 팀은 아마존 에코와 벨킨 넷캠 같은 주류 제품의 기기 보안에 비교적 높은 점수를 준 반면 네트워크 보안에는 C·D·F 등급을 줬다. 다른 취약한 기기를 통해 무선 홈 네트워크에 접근하는 침입자를 이 기기들이 얼마나 막아낼 수 있는지 나타내는 척도다. 그리고 구글의 네스트 스마트 가정용 제품(예컨대 자동온도조절기, 화재경보기 그리고 스마트 잠금장치·초인종 등)과 관련된 다수의 기기는 기기와 네트워크 보안에서 A와 B를 받았지만 모바일과 클라우드 보호에서 C와 D를 받았다. 가령 출입문의 잠금장치를 해제하려 작정한 유능한 해커가 집에 침입할 수 있다는 의미다.

클라우드 항목이 가장 걱정스럽다. 이들 서비스 중 다수가 클라우드 기반이며 중앙 기업 서버에 연결됐기 때문에 자금 풍부한 해커(가령 중국·북한 또는 러시아)가 작정하고 달려들어 전통적인 컴퓨터 인터넷의 보안을 우회하는 데 사용했던 것과 같은 고도의 침투 기술을 이용할 경우 어떤 일이 일어날지 알 수 없다.

추이는 “이는 잠재적으로 수백만 명의 가정에 접근하게 된다는 의미이며 그럴 경우 집에 들여놓은 모든 마이크·카메라·액추에이터(기계 구동장치)뿐 아니라 이런 기기를 사용하는 모든 사람이 피해를 본다”고 말한다. 알라위 연구원은 “이런 기기 중 일부를 집에 설치하는 데 따르는 위험을 제대로 이해하지 못하는 소비자가 많다”고 덧붙였다.

컨설팅 업체 트러스티드섹의 데이비드 케네디 CEO는 의회에 출석해 “우리의 삶과 안전에 어떤 영향을 미칠지를 두고 보안 문제에 관한 충분한 논의 없이 어둠 속으로 나아간다”고 말했다. / 사진:MCKINLEY WILEY, GETTY IMAGES BANK

그런 상황이 쉽게 바뀔 것 같지는 않다. 그런 변화가

생길 때까지 얼마나 큰 대가를 치러야 할지 의문을 갖는 전문가가 많다. 각종 제조업체를 대상으로 보안을 설계하며 사물인터넷에 관해 의회에 나가 증언한 사이버 보안 전문가 데이비드 케네디는 “완전히 엉망진창”이라며 “우리의 삶과 안전에 어떤 영향을 미칠지를 두고 보안 문제에 관한 충분한 논의 없이 어둠 속으로 나아간다” 고 말했다.

현재 보안업체 트러스티드섹 CEO인 케네디는 지난 수년간 보안 문제를 입증하기 위해 스마트 TV, 자동온도조절기, 스마트 냉장고, 로봇 청소기, 그리고 전력공급망에 연결된 콘트롤러 등 많은 기기를 해킹했다. 그러나 케네디 CEO가 가장 걱정하는 분야는 자동차 안전이다.

이미 몇몇 경종을 울리는 사건이 있었다. 피아트 크라이슬러는 소프트웨어 취약점을 메우기 위해 미국 내 차량 140만 대를 대상으로 안전 리콜을 해야 했다. 한 잡지 기자가 탑승한 지프 체로키의 인터넷 연결 엔터테인먼트 시스템을 보안 연구원 2명이 해킹해 차량 시스템을 장악하고 라디오와 에어컨을 작동 정지시킨 뒤 고속도로 한복판에서 멈춰 세워 교통마비를 일으킨 뒤였다.

문제는 대다수 차량에 수십 가지 다양한 기술이 내장됐는데 그중 다수가 예방적 차원의 유지관리에 필요한 데이터를 전송할 수 있도록 인터넷에 직접 연결됐다는 점이라고 케네디 CEO는 말한다. 그러나 이런 다양한 사물인터넷 기기는 다른 수십 개 하청업체에 위탁 생산되는 경우가 많아 새로운 보안 취약점이 발견될 때 보안 업데이트와 패치를 제공하기가 물리적으로 어렵다(그는 테슬라의 경우는 대표적인 예외라고 지적했다. “그들은 일차적으로 소프트웨어 제조업체이며 그다음으로 자동차 제조업체”라서 보안 시스템 구축법을 알기 때문이라고 그는 주장한다).

일부 정치인은 사물인터넷 규제의 불투명한 강으로 발을 들여놓기 시작했다. (위부터) 바이턴 M-바이트 전기 SUV의 대시보드 비디오 스크린, 지난해 발표된 아마존의 스마트 스피커 에코닷, 지난 1월 미국 상원정보위원회에서 증언하는 크리스토퍼 레이 FBI 국장, 지나 해스펄 CIA 국장을 비롯한 정보 당국자들. / 사진:STEVE MARCUS-REUTERS-YONHAP, STEVE MARCUS-REUTERS/YONHAP, GRANT HINDSLEY/AFP/GETTY, JOSHUA ROBERTS-REUTERS/YONHAP

새로 발견된 취약점을 메우는 예방적 보안 업데이트를 정기적으로 자동 설치하는 방안은 마이크로소프트 윈도와 애플 아이폰 같은 제품에는 표준적인 관행이다. 그러나 사물인터넷 연결 차량에선 그런 방안이 생소하며 자동차 업계에 아직 통합되지 않았다. 케네디 CEO는 “내가 어떤 자동차 제조업체들의 평가작업을 진행했는지는 말할 수 없지만 분명 다수 업체를 대상으로 했는데 보안 관행에 많은 개선이 필요하다”고 말했다. “그들은 자동차에 패치를 자동으로 설치하지 않아 차내 대화 도청부터 자동차의 도로 이탈까지 온갖 특정한 공격에 극히 취약하다.”

악몽의 시나리오는 악당이 전 세계적으로 온갖 차를 해킹해 대혼란을 유발하는 대규모 시스템 장악이다. 케네디 CEO는 “이제 이들 네트워크 연결 차량의 등장으로 그런 일이 가능하다는 데는 의심의 여지가 없다”고 말했다. “희생자가 생기면 결국 어느 정도는 반사적으로 산업 전체를 뜯어고치게 된다. 자동차 제조업체들의 멘털리티를 바꾸려면 그런 일이 필요할 것 같다.”

일부 지역의 정치인들은 사물인터넷 규제의 불투명한 강으로 발을 들여놓기 시작했다. 캘리포니아주는 내년 1월 사물인터넷 보안법을 시행하는 최초의 주가 된다. 내년 1월 시한으로 2018년 통과된 그 법안은 인터넷 연결기기들에 ‘합당한 보안 기능’을 갖추도록 기업에 요구한다. 기기마다 고유의 비밀번호를 수반하거나 이용자가 사물인터넷 기기를 처음 사용하기 전에 비밀번호를 생성하도록 명시적으로 요구한다. 미라이 공격과 뒤이은 모방공격에서 대단히 효과적으로 이용당한 취약점을 메우려는 목적이다. 그러나 이 법은 그 밖에는 의도적으로 모호하게 작성돼 장차 주 정부가 추가적인 지침을 마련할 여지를 남겨둔 듯하다.

사이버보안 전문가들은 미국의 연방정부에 사물인터넷 산업 규제에 개입하도록 촉구했다. 미국 연방 하원의원들은 지난 3월 3기 연속 법안을 제출했다. 미국 상무부 산하의 표준기술연구소(NIST)에 사물인터넷 기기에 대한 권고기준을 개발하고 NIST의 요건에 부합하는 지침을 각 정부기관에 하달하는 과업을 예산관리국(OMB)에 배정하는 법안이다. 또한 이 법에 따라 NIST는 취약점 공개에 관한 지침을 제공하고 사물인터넷 사이버보안 위협을 발표해야 한다.

NIST는 2년 반 전 그 문제를 검토하는 프로그램에 착수했으며 지난여름 소비자·기업·연방기관 대상의 어떤 용도로든 모든 인터넷 지원 기기가 제공해야 하는 최소한의 ‘기본’ 보안 기능의 자발적인 집합에 관한 공개적인 논평을 요청했다. NIST의 캐터리나 ‘캣’ 메가스 사물인터넷 사이버보안 프로그램 매니저의 설명이다.

대표적으로 기기마다 모두 네트워크 상에 표시되는 고유의 관련 숫자 또는 식별부호가 있어서 발생하는 어떤 문제의 출처를 신속히 찾아내 연결을 끊기 쉽게 만드는 기능이 있다. 지금으로선 많은 사물인터넷 기기에서 제공하지 않는 기능이다. 그 밖에 안전한 이용자 인증방식을 통해 각 기기로의 접근을 관리하고 암호화를 통해 데이터를 보호하고 보안 업데이트를 제공하고 사이버 상에서 발생하는 일을 기록해 조사원들이 문제가 어떻게 진행되는지 추적할 수 있도록 하는 기능이 있다.

이런 조치들로 보안 문제가 곧 해결되리라는 환상을 갖는 전문가는 거의 없다. 그런 표준은 의무사항이 아니다. 그리고 의회가 보안기준을 의무화하는 법을 시행한다고 해도 근본적인 보안 취약점 즉 이용자 자신은 여전히 남는다.

대표적인 사이버보안 업체 카사바 시큐리티의 공동창업자 제이슨 글래스버그는 “시스템이 아무리 강력하더라도 가장 약한 연결고리가 곧 그 시스템의 보안수준이며 그것은 항상 인간”이라고 말한다. “최대의 정보유출, 최대의 공격은 대부분 어떤 엄청나게 중대한 기술적 공격 때문이 아니었다. 누군가 속아 넘어가 자신의 인증정보를 건네주고 악성코드 설치나 패스워드 제공을 요구하는 링크를 클릭했기 때문이다. 그리고 사물인터넷 세계에서도 그것은 분명 변하지 않는다.”

[박스기사] 우리 가정을 해커로부터 보호하는 방법

어떤 것도 100% 안전하진 않다. 밤낮으로 인터넷에 연결된 기기가 가득한 가정은 특히 그렇다. 하지만 해커가 가정을 언제든 들여다볼 수 있게 하거나 가정의 전자 기기를 ‘좀비 봇’ 군단으로 만드는 위험을 최소화할 수 있는 간단한 방법이 있다. 가장 중요한 첫 단계가 자기인식이다. 보안 침해의 가장 큰 원인은 인적 오류다. 악의적인 소프트웨어에 불법 접근을 허용하거나 그런 소프트웨어를 설치하도록 유도하는 악성 링크를 클릭하는 것이 대표적인 예다. 가정의 해킹 위험을 최소화할 수 있는 방안 8가지를 소개한다.

· 안전이 보장되지 않는 기기를 사지 마라. 때로는 신기함에 끌리는 호기심이 현명한 의사결정을 방해할 수 있다. 기기를 구매하기 전에 충분히 조사하라. 소비자 리뷰 등을 통해 사고 싶은 기기에 가정 네트워크를 노출할 수 있는 취약점이 있는지 확인하라.

· 가정에서 사용하는 와이파이 라우터의 보안을 강화하라. 보안성이 강한 사용자 이름(ID)과 비밀번호를 설정하고, 라우터를 자주 업데이트하라. 사용하지 않는 포트는 닫고 라우터와 기기의 방화벽을 가동하라.

· 집 안에 있는 모든 연결된 기기를 정확히 파악하고, 그와 관련된 MAC와 IP 주소를 다른 곳에 메모해두라. 그래야 그 기기 중 하나의 보안이 뚫릴 경우 그 기기를 쉽게 확인하고 네트워크에서 제외할 수 있다. 메모를 위해 컴퓨터에서 파일을 생성한다면 그 파일을 비밀번호로 보호해야 한다.

· 별도의 게스트 네트워크를 설정함으로써 가정의 스마트 기기를 일반적인 가정 네트워크와 분리하라.

· 연결된 모든 기기에서 제조업체가 사전 설정한 사용자 이름과 비밀번호를 확인한 뒤 자신의 고유한 이름과 비밀번호로 변경하라. 업데이트할 수 없는 기기라면 좀 더 안전한 버전으로 교체하라.

· 모든 기기의 펌웨어(변경·분실되지 않도록 ROM에 고정시켜 놓은 소프트웨어)와 소프트웨어를 계속 업데이트하라. 제조사는 보안 취약점이 발견되면 패치로 업데이트하는 경우가 많다.

· 연결된 모든 기기의 세팅을 점검하면서 개인정보·데이터 공유 여부를 확인하라. 해당 기기가 제3자와 데이터를 공유하는지 살펴보라는 뜻이다. 서비스 제공업체에 개인 데이터를 끊임없이 제공할 필요가 있는가? 그럴 필요성이 없다면 공유를 차단하라.

· 제조사가 이메일을 통해 제공하는 업데이트 링크를 클릭하지 말고, 제조사의 웹사이트에 들어가 업데이트를 직접 내려받아 설치하라.

– 킴벌리 버크

※ [필자는 미국 코네티컷 주 웨스트포트에 있는 스마트 기기 가정 네트워크 전문 업체 테크노(TechKnow)의 최고운영책임자다.]

[박스기사] “공공 안전 문제도 고려해야” – 전자개인정보센터(EPIC) 대표 마크 로텐버그 인터뷰

사물인터넷(IoT)은 보안이 어려운 문제도 있지만 개인정보 유출에 따른 프라이버시 침해 위험도 아주 크다. 이 분야의 최고 전문가 중 한 명이 미국 조지타운 로스쿨 교수로 전자개인정보센터(EPIC) 대표인 마크 로텐버그다. 그는 급속도로 확장되는 컴퓨터 네트워크 상에서 개인정보와 시민자유의 보호를 위해 투쟁하는 EPIC을 1994년 워싱턴 D.C.에 설립했다. 은행을 비롯한 대기업들이 온라인 사업을 막 시작하던 시점이었다. 하지만 요즘은 그때보다 걱정할 일이 훨씬 많아졌다. 네트워크로 연결된 기기의 세계가 부상함에 따라 그것이 우리의 프라이버시에 어떤 영향을 미치는지, 우리가 어떻게 자신을 보호할 수 있는지와 관련해 애덤 피오르 기자가 로텐버그 대표를 인터뷰했다.

Q. IT 대기업은 고객의 데이터를 대규모로 수집한다. IoT 제조사들이 더 많은 고객 데이터를 수집하지 못 하도록 하려면?

A. 유럽의 GDPR 같은 엄격한 개인정보 보호법이 미국에는 없어 스마트 기기나 도어록(현관문 잠금장치), 자동온도조절기 등을 구매하는 미국 소비자는 자동적으로 그런 회사에 자신의 개인 데이터를 수집하고 사용하도록 허용하는 셈이다.

Q. 소비자가 우려해야 할 정도로 심각한 상황인가?

A. 아마존 링에 관한 뉴스를 접한 소비자의 반응이 아주 흥미로웠다. 링은 사용자 현관에 초인종 같은 감시 카메라를 설치해 보안을 강화하는 장치다. 현관문 앞에 설치된 카메라 앞에서 사람의 움직임이 감지되면 사용자 휴대폰으로 경보가 가거나 영상이 전송된다. 아마존이 미국 전역의 400개 경찰서에 그 사용자 영상을 볼 수 있도록 했다는 소식이었다. 그 제품을 구매한 소비자 대다수는 그럴 수 있다는 사실을 전혀 몰랐고, 그런 일이 진행 중이라는 사실도 몰랐다. 누군가의 현관문에 설치한 카메라가 경찰에 영상을 보낸다면 그 영상에 등장할 가능성이 가장 큰 사람은 누구일까? 나쁜 사람이 아니라 바로 그 집에 거주하는 사람들이다. 사생활만 위험한 게 아니라 법집행 기관의 감시를 받을 위험도 있다.

Q. 다른 예는 없는가?

A. 우리는 구글의 네스트 자동온도조절기에 관한 우려도 제기했다. 그 장치엔 사람들의 목소리를 들을 수 있는 마이크가 설치돼 가상 비서와 같은 역할을 한다. 이제 그들은 가정 온도조절 장치에 얼굴인식 기능도 추가하는 방안을 모색하는 것으로 알려졌다. 그런 기기가 인터넷에 연결되면 심각한 위험을 가져올 수 있다. 또 세계 최대의 드론 제조사는 중국 업체 DJI다. 미국 국방부는 테스트를 거친 후 DJI가 드론의 영상과 음향에 원격으로 접근할 수 있다는 사실을 알아냈다. 그래서 국방부는 그 드론의 구매를 취소했다. 그 드론이 정보를 수집해 제3자에게 전달할 수 있다는 우려가 크기 때문이다.

Q. 어떤 대응이 필요한가?

A. 우리는 주로 연방 의회와 정부 기관이 그런 위험에 유념하도록 주의를 환기시키려고 노력한다. 그런 위험이 급증하기 때문이다. 하지만 프라이버시뿐만 아니라 공공 안전에 관한 문제도 있다. 도어록이 인터넷에 연결되면 거주자가 아닌 다른 누군가가 해킹으로 집 안에 침입할 수 있다. 포괄적인 개인정보 보호법이 있으면 개인 식별이 가능한 데이터를 수집하는 모든 회사는 데이터 수집과 사용에 제한을 받는다. 미국은 개인정보의 수집과 사용을 제한하는 연방 차원의 법령이 필요하다. 아울러 인터넷에 연결된 기기가 해킹당하지 않도록 보장하는 엄격한 보안 기준도 도입해야 한다. 개인정보 수집을 최소화할 필요도 있다. 우리는 자동차, 드론, 도어록, 자동온도조절기 등 인터넷에 연결된 기기와 관련된 보안 위험과 관련해 의미 있는 결정을 내려야 한다.

Q. 그런 법령이 제정될 가능성은?

A. 개인정보 보호는 워싱턴 정가의 다른 많은 문제와 달리 초당적인 관심사라는 사실이 일단은 고무적이다. 따라서 공화당과 민주당이 함께 법안 마련을 위해 노력하고 있다. 지금까지 상정된 법안은 열두어 개다. 그러나 큰 진전은 없다. 문제 중 하나는 의회 내부에 개인정보 보호에 관한 강한 지지가 없다는 점이다. 프라이버시 보호 기관을 자처하는 연방거래위원회(FTC)도 이들 기기 중 일부의 개인정보 관련 위험과 관련해 의회에 알리는 노력을 충분히 하지 않고 있다.

Q. 그런 위험에서 소비자를 막아주는 솔루션이나 서비스를 시장이 제공하면 되지 않는가?

A. 일반인이 프라이버시 관련 위험을 평가하기는 매우 어렵다. 기술은 급속히 변하고, 스마트 기기 제조사 대다수는 실제 제품보다는 데이터를 활용해 수익을 올린다. 따라서 사업 모델 자체가 소비자의 의미 있는 선택을 유도하지 못할 가능성이 크다.

Q. 의회나 FTC가 이 문제를 적극적으로 다루도록 하려면 무엇이 필요한가?

A. 시장 기반의 해결책이 나오기 어렵다는 사실을 솔직히 인정하려는 자세가 필요하다. 법안 제정에 반대하는데 사용되는 논리가 바로 그런 “시장 기반의 해결책을 찾는 게 낫다”는 것이다. 하지만 소비자가 위험을 의미 있게 평가할 수 없다면 더 나은 제품을 생산하는 데 필요한 인센티브를 시장에 제공할 가능성이 희박하다.

Q. 개인정보 보호의 실천에 필요한 긴박감을 고취하려면 어떻게 해야 할까?

A. 인터넷 연결 기기의 위험을 올바로 이해하는 소비자가 더 많아져야 한다. 그러기 위해선 홍보 효과가 큰 일화 몇 가지가 필요하다. 또 미국에선 개인정보 보호법만이 아니라 이런 새로운 문제를 다루는 새로운 정부 기관도 있어야 한다. 개인정보 보호 기관이 있는 유럽이 면밀히 검토하고 규제를 제안하는 문제 중 하나가 바로 oI T다.

– 애덤 피오르 뉴스위크 기자