[CCTV뉴스=신동훈 기자] 사물과 사물이 인터넷으로 대화를 나누는 IoT 시대가 점점 현실화되고 있다. 사물간 통신하고 데이터를 주고 받으며 스스로 판단하고 정보를 알려주거나, 행동한다. IoT가 삶을 편리하고 윤택하게 해주는 기술이지만, IoT 기술 기반 다양한 제품과 서비스에 발생하는 보안위협 역시 점점 커지고 있는 상황이다. IoT의 편리한 이면엔 보안 위협이라는 존재를 잊어선 안 된다.

Internet of Things가 현실로 다가오고 있다. IoT는 사람과 사물, 사물과 사물을 연결해 초연결 사회를 구축하고 사용자 중심의 지능형 서비스를 제공하기 위한 기술로, 스마트기기와 센서가 점점 증가하며 산업 전체에 걸쳐 관심이 고조되고 있다.
IoT가 실제 생활영역에 적용되기 시작하면서 다양한 효율성과 편의성 등 우리의 실생활을 바꿔가고 있다. 가트너는 2020년까지 280억 대 이상의 IoT 장치들을 예상하고 있고 이 숫자는 2020년이 가까워질수록 증가하고 있다.

하지만, 빛이 있는 곳엔 그림자가 있는 법. IoT 시대가 다가오면서 IoT 보안이라는 새로운 도전에 직면하고 있다. 누구나 접속할 수 있다는 점이 오히려 악의적인 접근으로 인해 장점이자 단점이 될 수 있기 때문이다.

다양한 위험 요인 내포하고 있는 IoT…지금과 다른 보안 수준 요구

IoT시대가 오면 사용하는 모든 제품이 인터넷에 접속돼 온라인으로 모든 서비스 및 기능을 실행할 수 있는 시대가 도래한다. 스마트홈, 스마트오피스, 스마트팩토리 등 모든 버티컬에서 IoT를 만나 스마트로 변모, 실생활과 업무가 편리해질 수 있지만, 보안 취약점으로 인해 노출되는 정보로 물리적 침입, 정보 탈취 등 다양한 위협에 직면할 수 있다.

IoT 장치들은 PLC, SOC 등 장치의 종류와 제조년도 등 요소들이 매우 다양하다. 바로 이 다양성이 보안 위협이다. IoT 장치들은 원활한 통신과 서비스가 주 목적이지 보안을 염두해 둔 것이 아니기 때문이다.

이미 우리는 IoT 취약성으로 인한 다양한 IoT 해킹 사건을 목도했다. ▲교통 신호등 신호 조작 ▲스마트홈 카메라 제어 ▲CCTV 영상 불특정 다수에 유포 ▲자동차 원격 제어를 통한 핸들, 브레이크 조작 ▲아파트 도어록 출입문 개방 등 다양한 IoT 영역에서 해킹을 통해 기기 및 인프라 조작이 이뤄졌다.

미라이 봇넷(Mirai Botnet), 랜섬웨어(Ransomware) 등 네트워크에 접속해 컴퓨터 및 라우터를 망가트리거나, IP 카메라를 해킹해 사생활이 그대로 노출되며 AI 스피커 보안 취약점이 보고되는 등 IoT 보안 이슈가 계속해서 발생하고 있다.

포어스카우트(Forescout) 엔지니어 전창우 차장은 “2016년 미라이 봇넷 사건 이후로 변형된 형태의 악성웨어들이 발견됐고 지속적인 하드웨어, 소프트웨어, 네트워크 부담 및 보안 위협이 되고 있다”며 “이는 내부정보유출, 업무효율성 방해, 서비스 장애 및 국가기반 시스템에도 위협이 될 수 있다”고 경고했다.

이성재 KISA IoT 융합보안혁신센터장은 “IoT 기기는 앞으로 사이버 범죄의 새로운 수익원이 될 것이다. 자율주행차를 해킹해 인질극을 벌이거나, 기업 내부망 침투를 위해 외부에 노출되어 있는 IoT 기기를 공격할 수도 있고, IoT 기기들을 좀비화해 DDoS 공격, 개인정보 유출 등 기업과 사회의 혼란을 가중시킬 수 있다”며 “때문에, IoT 제조사 및 서비스 제공 기업은 IoT 보안내재화 및 보안수준 제고를 위한 활동을 필수적으로 추진해야 한다”고 제언했다.

IoT 보안 사건 단골손님 ‘IP 카메라’

앞서 예시를 통해 봤듯이 IP 카메라 해킹이 IoT 보안 사건 단골로 계속 등장한다. 몇 년 전, 러시아 인세캠 사건은 물론 미라이 봇넷과 DDoS 공격을 통한 CCTV의 좀비화, 최근 중국산 스마트홈 카메라 해킹 등 IoT 보안 사건에는 IP 카메라가 빠지지 않았다.

KISA가 2017년 10월, 국내 판매 실적이 높은 CCTV 제품 33개사 261종 보안수준을 점검해 보니, 29.9%가 아이디/패스워드 설정이 취약한 것으로 파악됐다. 보안의 기초 중에 기초인 아이디/패스워드 설정 부분도 취약한 상태인 것.

과거 영상감시 산업은 ‘폐쇄적’ 이고 ‘아날로그’ 기반이었다. 아날로그에서 네트워크를 만난 IP 카메라는 이후 차세대 CCTV로 각광받았다. 하지만, 폐쇄망에서 네트워크망으로 변환하면서 보안 문제를 제대로 해결하지 못했고, 결국 카메라 보안 문제는 현재까지 미완성으로 남아 있다. 몇몇 글로벌 카메라 제조사와 관련 업체가 IoT 보안을 서두르고 있지만, 국내 제조기업에서는 IoT 보안에 대한 준비가 이제 막 걸음마 단계이다.