[CCTV뉴스=석주원 기자] 우리는 네트워크 기술의 발전 덕분에 컴퓨터나 스마트폰만 있으면 전 세계의 수많은 정보들을 접할 수 있게 됐지만, 이 연결을 통해 우리의 개인정보가 유출되거나 소중한 데이터가 사이버 공격에 노출되는 위협에도 직면해 있다. 더욱이 이러한 사이버 위협이 우리가 살아가는 생활공간에서도 발생할 수 있어 이에 대한 대책 마련이 시급한 상황이다. 한국정보통신기술사회 남우기 회장은 스마트홈으로 치장되고 있는 첨단 주거공간이 사실은 사이버 위협에 무방비로 노출되어 있다고 지적하고 있다.
폐쇄형에서 개방형으로 바뀐 홈네트워크
주거공간의 사이버 위협에 대해 설명하기 위해서는 먼저 미래형 주거공간으로 꼽히는 스마트홈 시스템에 대해서 짚고 넘어가야 한다. 일반적으로 우리가 살고 있는 집에 ICT기술을 접목해 생활 편의성을 높인 형태를 스마트홈이라고 부른다. 최근 몇 년간 가전제품 시장의 트렌드였던 IoT(사물인터넷)가 스마트홈을 대표하는 기술이라고 할 수 있다. 특히 요즘 새로 지어지는 건물의 경우 아예 설계 단계에서부터 스마트홈을 위한 인프라를 포함시키는 추세다.
단독주택은 스마트홈 인프라 구축이 비교적 단순한 편이다. 하지만 아파트 같은 공동주택의 경우 여러 세대를 연결 및 분리하는 기술 등 추가적인 설비 구축과 운용이 필요하다. 특히 공동주택의 경우 모든 세대의 홈네트워크가 중앙의 관리 시스템과 연결되어 있기 때문에 보안에 많은 신경을 써야 한다. 그래서 과거에는 공동주택의 네트워크를 폐쇄망으로 구성해 외부의 침입을 원천봉쇄했다. 외부의 공격자가 폐쇄망에 침입하기 위해서는 물리적으로 공동주택 당지에 침입해 특정 세대나 관리사무소를 통해 네트워크에 침입해야 했다.
그런데 현재의 스마트홈 시스템들은 공동주택의 단지망을 외부와 연결시키고 있다. 이른 바 5G 기반의 초연결시대를 구축하기 위해 외부에서도 홈네트워크에 접속해 다양한 일들을 할 수 있도록 서비스를 설계하고 있다.
남우기 회장은 이에 대해 “과거의 스마트홈은 폐쇄망이 기본이었기 때문에 외부로부터의 침입 위협은 상대적으로 낮았다. 하지만 IoT의 활성화와 함께 홈네트워크가 외부로 연결되어야 할 필요성이 생겼다. 네트워크가 외부로 연결된다는 것은 그만큼 사이버 위협이 늘어난다는 것을 의미한다. 그런데 대부분의 건설회사와 관련 기업들, 심지어 정부조차도 스마트홈 네트워크 보안에 대해 심각하게 생각하지 않고 있다”며 우려를 나타냈다.
개방형 홈네트워크의 보안 위협
스마트홈의 통제 시스템은 보통 월패드가 담당하고 있다. 월패드를 통해 단지망에 접속해 관리 정보와 에너지 사용 정보 등을 확인할 수 있고, 집 안의 IoT제품도 월패드에서 조작할 수 있다. 문제는 이 월패드의 보안 시스템이 허술해서, 월패드를 통한 침입이 매우 쉽다는 데 있다. 실제로 남우기 회장은 사전 허가를 받은 후 전문가와 함께 월패드 해킹을 시도해 보았는데, 일반 노트북으로 어렵지 않게 다른 세대의 월패드에 침입할 수 있었다고 한다. 이는 외부의 침입자가 한 세대의 네트워크만 해킹하면 공동주택 단지 내의 모든 네트워크에 접근할 수 있음을 의미한다.
“이러한 보안 위협은 기업들도 모두 알고 있다. 그래서 방화벽 설치 등 나름대로의 조치는 하고 있다. 하지만 더 큰 문제는 이런 보안 시스템을 관리할 사람이 없다. 예를 들어 아파트에 전기 관련 문제가 발생하면 전기 기술자가 1차적으로 문제점을 점검하고, 필요하면 한국전력에 수리 요청을 할 수 있다. 그런데 정보통신 분야의 전문가가 상주하는 공동주택은 찾아보기 힘들다.”
남우기 회장은 전문인력 부재의 가장 큰 문제로 이력 관리가 안 된다는 점을 꼽았다. 네트워크 방화벽은 정해진 보안정책에 따라 위험한 접근을 차단하는 방식으로 동작한다. 사이버 공격은 갈수록 진화하고 있으므로 방화벽의 보안정책도 지속적인 업데이트가 필요하다. 처음 몇 년간은 방화벽 솔루션을 제공한 업체에서 보안정책 업데이트도 지원을 할 것이다. 하지만 서비스 기간이 끝난 이후 연장을 하지 않는다면 새로운 보안정책도 제공받을 수 없다.
만약 문제가 발생한 이후 이를 해결하기 위해 보안 전문가를 고용한다고 해도, 그동안의 이력 관리가 전혀 되어있지 않았기 때문에 아무리 전문가라 해도 어디서부터 접근해야 할 지 난감할 수밖에 없다.
정부와 기업의 미온적인 대응, 왜?
4차 산업혁명 시대에서 데이터는 가장 중요한 자원으로 꼽힌다. 그래서 데이터 보안, 즉 정보보안과 관련해 정부 차원에서다양한 정책을 추진하고 있다. 그런데 이런 정책 기조와 달리 스마트홈에 대한 정부의 대응은 유독 소극적이다. 물론, 홈네트워크와 관련된 정부 지침은 고시되어 있다. 하지만 스마트홈의 보안과 관련한 직접적인 법적 규약은 아직 지정되지 않았다. 홈네트워크와 관련한 고시도 기본적으로는 폐쇄망 형태의 구성을 제시하고 있지만, 이를 법적으로 규정한 내용은 찾아볼 수 없다.
“기업이나 정부나 스마트홈 보안을 바라보는 시각은 비슷한 듯싶다. 스마트홈 보안 시스템에 문제가 있다는 것은 인식하고 있지만, 당장 큰 사고가 발생하지 않는 한 현상 유지를 이어가려는 심산으로 보인다. 새로운 보안 시스템을 구축하고 운용하는 데에는 그만한 비용이 들어가기 때문이다.”
지금까지 수많은 개인정보 유출 사고가 발생했음에도 사고를 일으킨 기업이 큰 손해를 보는 경우는 거의 없었다는 점 역시 기업들이 적극적인 대응책을 마련하지 않는 이유 중 하나일 것이다. 더욱이 공동주택에 살고 있는 주민들 역시 단지 내에서 발생한 보안 사고에 대해서는 함구하는 경향이 있다. 행여나 보안 사고로 인해 집값이 떨어질까 우려하기 때문이다. 당장 주민들부터가 쉬쉬하고 있으니, 기업이나 정부의 대응은 더욱 미온적일 수밖에 없다.
스마트홈 보안의 근간은 네트워크 보안
스마트홈 네트워크를 보호하는 가장 확실한 방법은 과거처럼 폐쇄형 네트워크를 구축하면 된다. 하지만 이미 시대의 흐름은 폐쇄형 시스템을 거부하고 있다. 그렇다면 정부도, 기업도, 심지어 주민들마저 시큰둥한 스마트홈의 보안을 강화하기 위해서는 어떠한 방법이 필요할까?
“기업들이 스마트홈 보안에 대해 미온적이라고 해서 완전히 손을 놓고 있는 것은 아니다. 스마트홈 시스템을 구성하는 각각의 제품들에는 저마다의 보안 솔루션이 탑재되어 있다. 문제는 갈수록 진화하는 사이버 공격에 맞춰 보안 솔루션을 추가하다 보면 배보다 배꼽이 더 커지는 상황이 올 수도 있다는 데 있다. 작은 센서 하나하나에까지 보안 장치를 심는다고 생각해보자. 비효율의 극치라고 할 수 있다.”
그래서 남우기 회장이 제안하는 스마트홈 보안의 핵심은 공격이 침투하는 경로를 막아 버리는 데 있다. 즉, 네트워크 보안만 철저하게 대응한다면 네트워크에 연결된 시스템과 장치에 침입하는 모든 공격을 막아낼 수 있다는 것이다.
“기업과 공공기관들은 데이터를 보호하기 위해 망분리를 도입하고 있는데, 이 망분리가 바로 대표적인 네트워크 보안 기술이다. 내부망과 외부망을 분리해 외부에서의 침입 루트를 완전히 봉쇄하는 것이 가장 확실한 보안 설계다. 이러한 네트워크 분리 기술을 홈네트워크에도 도입해야 한다. 단지 전체뿐만 아니라 각 세대별로 사이버 경계벽을 만들어 세대와 세대를 완전 분리시켜야 한다. 그래서 단지 내 홈네트워크 사용기기를 통해 세대 내 홈네트워크 장비에 접속할 수 없게 하는 것이 중요하다. 지금처럼 101호의 월패드를 통해 단지 내 홈네트워크 사용기기에 침투하더라도 102호의 월패드가 노출되지 않도록 네트워크를 분리 설계해야 한다.”
이미 이러한 형태의 솔루션은 일부 스마트빌딩에 적용되고 있으며, 관련 기술을 연구 개발하는 기업들도 늘고 있다.
네트워크 보안 전문가 제도 도입 필요
홈네트워크가 해킹을 당하면 당장 주민들의 생활에 큰 피해를 입힐 수 있다. 엘리베이터 사용만 정지시켜도 많은 불편이 발생하게 되고, 문의 잠금 장치가 무력화 되면 범죄 위협에도 노출될 수 있다. 그럼에도 아직까지 스마트홈 보안에 대한 법적 장치는 미비한 수준이다. 기업의 개인정보 보호에는 과도한 제도적 장치를 적용하고 있는 정부가 스마트홈 보안에는 아직까지 소극적인 조치만을 행하는 모습이 아쉽다.
“현재 정부에서는 CISO(정보보호 최고책임자) 제도를 시행하고 있는데, 스마트홈 네트워크 분야에서도 이러한 전문 인력이 필요하다. CISO 제도와 마찬가지로 일정 규모의 스마트빌딩이나 단지에는 네트워크 보안 관리자를 필수적으로 두도록 법제화할 필요가 있다. 이를 통해 새로운 일자리를 창출할 수 있으며, 여기에 청년 일자리 지원금을 투입한다면 우수한 보안 전문 인력을 육성하는 데에도 도움이 될 것이라고 본다”
올해 정부는 전국 지자체를 대상으로 스마트시티 시범사업을 추진하는 등 4차 산업혁명에 발맞춰 우리의 생활 환경 개선에도 힘쓰고 있다. 하지만 개인정보 보호를 그렇게 중시하던 정부가 정작 개인정보의 집약체인 스마트홈 보안과 관련해서는 허술한 모습을 보여주고 있다. 남우기 회장의 의견처럼, 정부가 더 적극적으로 나서서 홈네트워크 보안과 관련한 규제안을 정비하고, 인력 육성을 위해 힘써야 할 때가 아닐까 싶다.
