[컴퓨터월드] IoT가 새로운 산업발전의 주역으로 떠오르면서 관련 기기들이 쏟아지고 있다. 이전에는 상상하지 못했던 다양한 기기들이 인터넷에 연결되고 있는 것이다. 가트너는 2020년까지 208억 개의 사물이 인터넷에 연결될 것으로 전망하고 있다. 디바이스 시장규모는 총 3조 달러까지 성장할 것으로 보았다.

IoT가 떠오르며 IoT기기들의 보안 위협 또한 커지고 있다. 특히 리소스가 적은 IoT기기들의 경우 기존 백신과 같은 보안 솔루션 탑재가 어렵고 개인사용자들의 보안의식이 부족한 경우가 많아 우려된다.

IoT 기기 수요는 증가, 사용자 보안수준은 낮아

많은 전문가들은 IoT가 확산될수록 이에 비례해 보안 위협이 증가할 것으로 보고 있다. 실제 IoT 기기를 이용하는 공격은 점점 더 지능화되면서 그 양 또한 많아지고 있다.

가트너에 따르면 매일 약 550만 개의 기기가 인터넷에 연결되고 있다. 세계경제포럼 산하 ‘글로벌 어젠다 카운슬(Global Agenda Council)’은 글로벌 ICT 기술 부문 임원과 전문가 800여 명을 대상으로 진행한 설문 조사결과를 들어, 2025년에는 약 1조 개의 센서가 인터넷에 연결되며 가정, 업무 환경부터 사회 기반 시설까지 IoT 기술의 활용 범위가 크게 확대될 것으로 예측했다.

지난해 10월 DNS서비스 기업 딘(Dyn)에 대규모 DDoS공격이 가해졌다. 이에 트위터, 뉴욕타임즈, 페이팔, 레딧, 넷플릭스, 스포티파이 등 미국의 유명 인터넷서비스와 정부기관의 웹사이트가 접속장애를 일으켰다.
이는 ‘미라이(Mirai)’ 봇넷에 감염된 IoT기기들이 공격자의 명령에 따라 DDoS공격을 행하는공격용 봇(Bot)의 역할을 수행했기 때문이었다. 공격자는 CCTV, NAS 등 관리자 계정 관리가 취약한 기기의 시스템에 60여 개의 계정 암호를 무차별 대입하는 방식으로 악성코드를 감염시켰다. 레벨3커뮤니케이션은 공격직후 보고서를 통해 약 49만 3천 대의 기기가 미라이에 감염됐다고 발표했다. 약 49만 대의 기기들은 기존 200-400Gbps 급인 기존 DDoS 공격 규모를 상회하는 약 600Gbps 이상의 규모로 서버를 공격했던 것으로 나타났다.

미라이에 감염된 기기들은 인터넷을 통해 무작위로 열린 텔넷 포트가 있으며, 기본 인증 정보를 사용하는 디바이스를 검색한 후 좀비로 감염시킨 것으로 분석됐다. 감염된 디바이스는 또 다시 검색을 통해 더 많은 대상을 찾아 나서게 된다.

지난해 10월 1일 미라이의 악성코드가 공개되며 감염 기기 역시 폭발적으로 늘어나고 있다. 공격자들은 미라이의 코드를 응용한 새로운 변종 악성코드를 개발, 앞으로도 이러한 공격은 계속될 것으로 보인다. 실제 지난해 12월에는 릿(Leet) 봇넷이 미라이를 상회하는 초당 650Gbps의 공격을 수행하기도 했다.

이러한 공격은 대부분 관리자나 소유자가 관리자 계정 등을 제대로 관리하지 않았기 때문이다. 미라이 봇넷 역시 자주 사용하는 비밀번호(admin, root, 123456, 12345, ubnt, password, test 등)를 이용해 공격을 진행했다.

특히 개인사용자의 경우 보안에 대해 알지 못하거나 번거롭다는 이유로 기본적인 비밀번호조차 바꾸지 않고 사용하고 있는 경우가 많아 인식 개선이 시급하다.

보안 위협, 개인 넘어 기업으로

비단 사용자의 기기가 공격에 활용되는 것 이외에도 사용자의 허술한 보안 인식은 많은 위험을 품고 있다. 2014년 11월, 러시아의 웹캡 해킹사이트 ‘인세캠’은 계정 설정의 중요성을 알리고 싶다며 해킹된 전 세계 7만 3천 대의 개인용 CCTV 영상을 실시간 중계해 논란이 됐다. 이어 올해 3월 쇼단(Shodan.io)은 18만 5천 개 이상의 취약한 웹캠 목록을 공개하기도 했다.

인터넷에 직접 연결되는 웹캠/와이파이캠 등의 개인용 CCTV는 많은 업체들이 제품을 내놓고 있다. 이들 제조업체 중 특히 영세 제조사의 경우 보안에 상대적으로 취약한 경우가 많아 주의가 요구된다. 자칫 개인의 사생활이 유출되거나, 절도 대상을 물색하는 데 사용될 수 있어 재산 및 생명에 위협이 될 수 있다.

관리자 측에서 네트워크 점검 차 백도어를 심어놓은 경우, 백도어를 통해 해당 CCTV가 촬영하는 영상을 원격으로 보거나 제어하는 것이 얼마든지 가능하기 때문에, 공격자는 이를 노리고 접근하곤 한다. 개인 영상 유출 등 제조사의 목적과 다른 용도로 악용하는 경우, 제품을 구매한 사용자는 이상 여부를 인지하기 어렵고 인지하더라도 문제를 스스로 해결하는 것이 거의 불가능하다.

이러한 위협은 비단 개인에게만 해당하는 것은 아니다. 기업 역시 IoT기기로 인한 다양한 위협에 직면해 있다. 대표적인 예가 스마트팩토리다. 스마트팩토리는 기존에 버려지던 수많은 데이터를 수집하고 이를 분석하는 것이 중요하다. IoT기기에 장착된 센서의 각종 데이터가 위변조 및 탈취 위험이 있으며, 출력을 위한 기기가 도면정보를 캐시에 남겨두는 경우에도 기업 정보가 새어나갈 위험이 있다.

다양한 기기가 대량으로…IoT 공격 위협 높아져

많은 IoT 기기 제조사들 및 관련 서비스 제공자들은 IoT가 확산될수록 보안 위협이 증가할 것이라는 데 동의하고 있다. 그럼에도 구체적인 보안 전략 마련에는 어려움을 겪고 있는 것이 현실이다.

IoT기기의 리소스가 적어 백신이나 특정 보안 솔루션을 탑재하기 어려우며, 보안 취약점이 발견되더라도 쉽게 패치하기 어렵기 때문이다. 단순한 센서부터 복잡한 컴퓨팅 기기까지 다양한 이기종 기기가 다양한 생산자에 의해 생산돼 표준 마련이 어려운 이유도 있다. 이러한 여러 기기들이 상호 연결돼 공격자가 노릴 침투경로와 공격방법 또한 다양화됐다.

이에 관련, 기관 및 업계 전문가들은 IoT 보안을 기존 보안과 시작부터 달리 접근해야 한다고 언급한다. IoT 기기를 보호하고 기기간 통신 시 탈취·위변조를 막는 암호화, 기기와 통신 인증을 위한 인증과 키관리, IoT 소프트웨어 취약점 제거 등 IoT 보안을 위한 다양한 기술이 제기되고 있다.

한국인터넷진흥원(KISA)은 ‘2017 산업체가 주목해야 할 정보보호 10대 기술’ 중 하나로 하드웨어 기반 단말보안 기술을 꼽았다. KISA는 IoT 디바이스를 위한 보안 요구 사항으로 전송 데이터 암호화, 데이터 무결성, 플랫폼 무결성, 시큐어 부팅, 소프트웨어 안정성, 접근제어, 사용자 인증, 기기 인증, 비밀번호 관리, 상호 인증, 권한 제어, 식별 정보 검증 등을 꼽았다.

관계자들은 이처럼 다양한 이기종 네트워크 환경에 적용 가능하고 종류와 기능이 다른 IoT 기기들에 적용 가능한 보안을 위해서는 기기-네트워크-애플리케이션을 아우르는 모든 구성요소의 설계단계부터 내재화된 보안을 적용해야 한다고 강조하고 있다.

IoT 보안 표준 마련해야

미래창조과학부는 ▲정보보호와 프라이버시 강화를 고려한 IoT 제품 및 서비스 설계 ▲안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증 ▲안전한 초기 보안 설정 방안 제공 ▲보안 프로토콜 준수 및 안전한 파라미터 설정 ▲IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행 ▲안전한 운영 및 관리를 위한 정보보호 및 프라이버시 관리체계 마련 ▲IoT 침해사고 대응 체계 및 책임 추적성 확보 방안 마련 등을 골자로 하는 ‘IoT 공통 보안원칙’을 공개했다.

IoT 국제 표준을 정립하기 위한 시도 역시 지속적으로 진행 중이다. 인텔, HP, IBM, MS에 의해 설립된 TCG(Trusted Computing Group)는 신뢰할 수 있는 컴퓨팅 플랫폼 표준화를 추진하고 있으며 TPM(Trusted Platform Module)이라는 하드웨어 칩 기반 암호화 처리 모듈 표준을 개발하고 있다.

일본 정부 역시 인터넷에 연결되는 가전제품과 기타 장비에 대한 보안 인증 시스템 도입을 추진한다. 일본 총무성은 소비자가 IoT 기기 보안을 판단할 수 있는 인증 마크를 개발, 오는 2018년 도입한다는 방침이다. IoT 기기가 안전한지 아닌지 여부를 소비자가 쉽게 판단할 수 있도록 돕자는 취지다.

컨슈머리포트 역시 제품 평가 시 보안성을 검토하는 방안을 추진하고 있다. 데이터 보안과 개인정보 보호 관점에서 제품을 평가하고, 기업이 안전한 제품을 만들 수 있게 하고자 새로운 테스트 표준을 제시한다는 방침이다. 컨슈머리포트는 제품의 안전성, 소비자 개인정보 활용 여부,주요 권한 남용 여부, 개인정보 관리 방안 마련 여부 등 기준을 마련하고 보안 평가를 수행할 계획이다. 이를 위해 깃허브에 해당 테스트 표준을 업로드하고 참여자들의 평가를 취합 중이다.

KISA역시 IoT 보안인증제 도입을 준비하고 있다. KISA는 보안인증제를 도입하고 중장기적으로 이를 의무화하는 방안을 구상하고 있다. 이를 위해 모든 IoT 기기에 적용할 수 있는 국제 표준 기반 공통 점검 항목을 개발하고 있다. KISA는 오는 7월까지 점검 항목을 도출, 8월부터 실질적인 인증이 이뤄질 수 있게 한다는 목표다.

‘네트워크 가시성 확보로 네트워크 관리 가능’ 지니언스는 자사가 가지고 있는 NAC 솔루션을 내세워 ‘네트워크 가시성’의 중요성을 강조하고 있다. 기존 업무 환경에서 직원들에게 보여주는 것은 데스크톱 본체밖에 없었다. 하지만 IoT 시대가 다가오면서 어떤 단말기가 네트워크에 접속되는지 확인이 어려워지고 있다. 무선 접속을 통해 보안이 담보되지 않은 저가형 장비들이 저마다의 운영체제를 가진 채 네트워크에 접속하면 이를 쉽게 파악하기 어려워질 수밖에 없다. 기존의 관리체계로는 누가 네트워크에서 무엇으로 무슨 일을 하는지 쉽게 파악하기 어렵다. 지니언스는 자사의 NAC 솔루션을 통해 어떤 단말이든 쉽게 파악하고 이상행위 발생 시 제어, 차단할 필요가 있다고 설명했다. IoT시대로 접어들며 이처럼 단말기의 폭발적인 증가는 관리포인트의 상승으로 이어진다. 단말의 변수가 많아 그 안에서 어떤 공격이 일어날지 예측하기 어렵기 때문이다. NAC를 활용하면 기기가 네트워크에 접속했을 때 보안정책 준수하는지 여부를 확인하고, 누가 어느 네트워크에 어떤 단말기를 연결했는지 빠르게 찾아 이를 제어할 수 있다. 실시간으로 비인가 단말을 탐지, 통제하며 IoT 장비의 경우 정책을 적용해 IP/맥주소의 가용성을 확보해 두면 비인가 단말기로 인한 충돌이 발생한다고 해도 타 단말의 네트워크 통신흐름을 방해하지 않는다. 지니언스는 최근 지란지교재팬과 함께 NAC의 기능 중 모바일 특화 기능을 추려 ‘오피스띵스(OfficeThings)’를 선보였다. 오피스띵스는 일본향 클라우드 기반 유무선 단말관리 솔루션으로 기업 내 네트워크에 접속하는 모든 기기를 관리할 수 있는 기능을 제공한다.

‘쉬운 보안으로 가정에서도 보안 확보 유리’ 맥아피는 지난 4월 가정용 IoT 보안 솔루션 ‘시큐어 홈 플랫폼(Secure Home Platform)’을 공개했다. 홈 네트워크의 보안품질을 높이겠다는 포부다. 시큐어 홈 플랫폼은 라우터에 탑재해 가정의 네트워크를 쉽게 통제할 수 있도록 해 UI나 디스플레이가 없는 IoT단말에 대해서도 보안을 제공할 수 있다. 향후 ISP나 라우터 OEM 제조사들과의 협력을 통해 제공될 예정이다. 클라이언트 소프트웨어 없이 악성 웹 사이트에 대한 액세스를 차단하고, 새로운 기기가 연결될 때 자동으로 발견하고 즉시 보호하며, 클라이언트 소프트웨어 없이 비표시된 IoT 장치까지 보호하고, 모바일 앱을 통해 실시간으로 모니터링이 가능하다. 조준용 맥아피 이사는 “최근 기업의 업무 성격이 바뀌며 재택근무가 늘어나고 있다. 보안의 기본은 홈 네트워크에서부터 시작돼야 한다”며, 자사의 솔루션이 “디스플레이가 없고 취약한 각종 기기들을 어디에서나 어렵지 않게 관리할 수 있는 플랫폼”이라고 강조했다. 엔터프라이즈 부문에서는 인텔리전스 공유플랫폼(Data Exchange Layer, Open DXL)과 자동화를 통해 갈수록 복잡해지고 정교해지는 보안 위협에 신속하고, 효과적으로 응대한다는 전략을 밝혔다. 송한진 맥아피코리아 지사장은 “새롭게 출발하는 맥아피 솔루션에는 기존 제품 대비 더 강력한 기술력과 더 확대된 사용자 편의성이 업그레이드 돼 있다”라며 “IoT 환경에서 고객들에게 자동화되고, 통합된 보안 시스템을 제공하는 데 집중할 것이다. 아울러 관리의 일원화, 신속한 침해 대응, 업무 효율성 구현을 이끌어 내 사용자들의 안전한 IT환경을 구현할 계획”이라고 말했다.

 

생명을 위협할 수도 있는 IoT, 보안의식 함양 필요

최근 개봉한 ‘분노의 질주: 더 익스트림’은 해킹에 의해 감염된 커넥티드 카가 공격자에 의해 움직이는 모습을 보여줘 IoT 보안 위협을 잘 보여주었다는 평을 받고 있다. 가트너에 따르면 커넥티드 카는 2020년까지 2억 2천만 대 수준으로 늘어날 것으로 예측되고 있다.

커넥티드 카는 다양한 편의 기능을 갖춰 자동차 산업을 이끌어갈 성장 동력으로 주목받고 있지만 자칫 탑승자나 보행자의 생명이 위험해질 수 있다는 이유로 소비자들의 걱정 또한 적지 않은 실정이다.

실제로 스페인의 한 해커팀은 스마트카 해킹을 통해 차량 엔진 내부의 제어구역 네트워크에 접근해 브레이크를 조작하는 해킹이 가능하다는 것을 입증한 바 있다.

시만텍은 ‘자동차 이상행위 탐지’ 기능을 갖춘 차량용 IoT 보안 솔루션을 통해 보안 위협에 대처하고 있다. 머신러닝 기술을 기반으로 차량을 모니터링해 차량 운행이 정상적으로 이뤄지고 있는지를 학습하는 솔루션이다. 차량의 정상 운영 상태를 시스템이 직접 학습하고 제조사가 예상하지 못하는 공격을 파악할 수 있다. 제조사가 정책을 정의하지 않더라도 감지된 심각도와 위험을 기반으로 우선순위를 자동 설정하도록 개발됐다. 시만텍은 자동차를 타깃으로 한 해커들에게 대응하기 위해 자동차 제조사, 반도체업체 등과 함께 협력하고 있다.

펜타시큐리티는 ‘아우토크립트(AutoCrypt)’를 개발해 자동차 제조기업과 협력하고 있다. 아우토크립트는 방화벽, 키관리시스템, 보안통신시스템, 차량용 PKI인증 시스템으로 구성돼 있다. 외부에서 유입되는 악성패킷과 내부 발생 비정상 패킷을 분석하고, 알려진 공격과 알려지지 않은 공격을 차단하는 것이 골자다. 시스템 키의 라이플사이클 관리 시스템과 인증서 관리, 인증/암호화를 통한 위변조 방지 등의 시스템을 갖췄다.
한편 업계는 시스템의 발전만큼이나 개인의 보안의식 함양이 가장 중요하다고 입을 모았다. IoT기기에 대한 보안이 생명과 재산을 좌지우지할 수 있는 만큼 IoT 보안이 중요해진 만큼 개인의 보안의식 역시 함께 상승해야 한다는 것이다.

한 관계자는 “PC의 발전사를 통해 우리는 보안을 염두 하지 않은 발전이 얼마나 위험해질 수 있는지 학습해왔다”며, “IoT시대를 앞둔 지금, 개인의 보안의식 함양과 더불어 통합적인 보안전략을 가지고 IoT 생태계를 구축해나가야 할 때”라고 강조했다.