IoT 보안, 이제는 사용자 스스로 챙겨야 할 때

[테크월드=신동훈 기자] 5G 시대가 본격화 되면서 사물인터넷(IoT)의 대중화가 일어나고 있다. 산업은 물론, 가정에서도 IoT 제품과 서비스 사용이 증가하고 있다. 그러나 가정용 IoT 기기의 보안 취약성이 여전히 개선되지 않고 있어 관련 대책은 물론 사용자 스스로가 보안을 챙겨야 한다.

SK인포섹(대표 이용환)은 30일 을지로 페럼타워에서 이큐스트(EQST)그룹 미디어 간담회를 열고, IoT 해킹 위협과 사생활 침해 문제에 대해 발표했다. EQST는 SK인포섹의 보안전문가 그룹으로 사이버 위협 분석/연구를 비롯해, 실제 해킹 사고 현장에서 침해사고 대응을 맡고 있다.

EQST는 이날 발표에서 국내외 기관 조사결과를 인용하며, IoT 기기의 폭발적인 증가 추세와 함께 가정용 IoT기기에 대한 해킹 위험을 집중 경고 했다. 글로벌 기관에 따르면 현재 전 세계적으로 사물인터넷 기기는 약 80억개에 이를 것으로 내다 봤다. 그 수는 점점 크게 증가해 2025년에 215만개가 될 것으로 예측하고 있다. 이런 가운데, 국내에서는 사물인터넷 기기 중 절반 이상이 가정에서 사용되고 있다.

사물인터넷 해킹 시도는 매년 늘어나고 있다. 2016년 사물인터넷 해킹의 대표적인 사건인 미라이 봇넷 디도스 공격이 발생했다. 이후부터는 스마트 장난감, 노트북 웹캠, 베이비 모니터, 반려동물용 IP카메라 등 가정에서 사용되는 IoT 기기가 연달아 공격을 당했다. 특히 IP카메라 같은 경우 집안 상황을 일거수일투족 감시받을 수 있다.

발표를 맡은 김태형 EQST 랩(Lab)장은 “주로 정부나 기업을 타깃 했던 사이버 공격이 유독 사물인터넷 분야에서는 일반 개인을 노리는 경우가 잦아지고 있다”면서 “큰 노력을 들이지 않아도 쉽게 해킹할 수 있는 가정용 사물인터넷 기기의 취약성을 고려할 때 공격은 더 늘어날 것”이라고 말했다.

SK인포섹은 이날 간담회에서 사물인터넷 기기에 대한 해킹 시연 영상도 공개했다.

시연 영상에서는 몇 가지 간단한 조작만으로 가정에서 흔히 볼 수 있는 웹캠을 해킹하는 것을 보여줬다. 실제 2016년에는 개인용 웹캠을 해킹해 인터넷에 게시해 온 ‘인세캠’ 해킹 사이트가 큰 문제가 되기도 했다. 인세캠 사이트는 당시 이슈로, 방통위에서 국내 접속을 차단했었지만, 지금은 버젓이 다시 들어가지기 때문에 조치가 필요하다. 그리고 국내 접속을 차단했다한들, VPN으로 들어갈 수 있기 때문에 본인 혹은 사업장에서 IP카메라를 사용한다면, 꼭 비밀번호를 변경해야 한다.

김태형 랩장은 “웹캠 해킹에는 여러 유형이 있지만, 대부분이 관리자 계정과 패스워드가 기본값으로 설정되어 있는 기기부터 노린다는 사실은 변함없다”면서 “패스워드를 설정하는 것만으로도 해킹 위험이 크게 낮아진다는 사실을 잊지 말아야 한다”고 강조했다.

또한, 간담회에서는 웹캠 해킹 등을 통해 확보한 사진과 영상이 어떻게 불법적으로 유통되고 있는지를 직접 보여주기도 했다. 현장에서 접속한 다크웹 사이트 화면에는 개인이나 유명인의 사생활 영상과 사진이 버젓이 올라가 있었다. 특히 다크웹 사이트는 접속한 아이피를 숨길 수 있다는 장점이 있어 다양한 해킹 영상과 사생활 영상 등이 올라와 있다.

김태형 랩장은 발표를 마무리하며 “IoT 기기 제조사들의 보안 투자와 사용자의 보안 의식이 개선되지 않으면 사생활 침해는 앞으로 계속 늘어 날 것”이리며, “개인정보 보호를 위해 정부와 기업, 국민 모두가 해왔던 범국가적 노력의 연장선에서 사물인터넷 기기 해킹 문제에 관심을 가져야 할 것”이라고 말했다.

특히 5G 시대 접어들면서 초연결시대에 돌입하고 있는 지금, 하나의 플랫폼으로 서드파티들이 연동되고 있는 가운데, 하나의 보안홀이 생기면 모든 곳에 보안 문제가 생긴다는 점을 염두해야 한다. 일례로, 국토부에서 스마트시티 통합플랫폼 사업을 진행중인 가운데, 통플에 연동된 하나의 서드파티에 보안홀이 생긴다면, 112/119 신고를 허위로 하거나, 좌표값을 조작해 경찰차를 엉뚱한 것으로 보낼 수도 있다. 이보다 더 큰 사고가 발생할 수도 있다. 통합플랫폼 기반을 만들 때 보안이라는 튼튼한 뿌리가 꼭 필요하다.