유클린 뉴스

13회4차 산업혁명 시대, 달라진 u에티켓
목록

공유기 비번 아직도 1234?…스마트홈, 해커들의 '안방'

[u클린 2017]<3>초연결시대, 한 곳 뚤리면 줄줄…보안 위협 커졌다

김지민 기자  |  2017.05.10 03:00
[u클린 2017]<3>초연결시대, 한 곳 뚤리면 줄줄…보안 위협 커졌다
머니투데이가 건전한 디지털 문화 정착을 위해 u클린 캠페인을 펼친 지 13년째를 맞았다. 과거 유선인터넷 중심의 디지털 세상은 빠르게 그 범위를 넓히고 있다. 특히 인공지능(AI), 로봇기술, 생명과학이 주도하는 4차 산업혁명은 전세계적인 화두로 떠오르고 있다. 우리나라에서에서도 지난해 인공지능 알파고가 이세돌 9단을 꺾는 ‘알파고 쇼크’ 이후 인공지능, 사물인터넷, 자율주행차 등 기술 개발이 활발하다. 우리 사회가 정보화 사회를 넘어 지능정보화 사회로 빠르게 진입하고 있는 것이다. 이같은 기술의 발전은 인류의 삶을 풍요롭게 만들 것으로 기대되지만 그 이면의 그늘도 피할 수 없다. 4차 산업혁명이 초연결로 표현되는 만큼 시공간을 초월한 사이버폭력, 해킹 등이 우려되며 정보 접근 정도에 따른 양극화 등의 부작용도 불가피하다는 지적이다. 올해 u클린 캠페인은 4차 산업혁명에 대비한 올바른 지능정보 사회 윤리 문화를 집중 조명한다.
image


# 지난해 9월 프랑스 호스팅 서비스 기업인 OVH가 초당 1.5테라비트(Tbps) 규모의 대규모 디도스 공격을 받았다. 이 공격에는 CCTV, DVR(Digital Video Recorder)등 약 14만대의 사물인터넷(IoT) 기기들이 봇넷(botnet; 공격기기)으로 동원됐다. 그로부터 한 달 뒤 트위터와 넷플릭스, 아마존, 페이팔 등 미국 1200여개 웹사이트가 마비되는 사건이 발생했다. 이들 사이트 도메인을 관리하는 호스팅업체 ‘딘(Dyn)’이 해킹 공격을 받아 사이트가 2시간 가량 먹통이 되거나 서비스가 지연되는 사태를 겪어야 했다. 이 공격에도 IoT 기기들이 사용된 것으로 알려졌다. IoT 기기를 활용한 사이버 공격이 본격화되고 있는 셈이다.

모든 사물들이 인터넷에 연결되는 IoT 시대가 도래하면서 보안을 걱정하는 목소리들이 커지고 있다. PC, 스마트폰뿐 아니라 인터넷에 연결된 수많은 기기들까지 해커들의 먹잇감이 될 수 있기 때문이다. 특히 가정 내 가전 기기와 연결될 뿐 아니라 방범용으로까지 사용되는 IoT가 해킹을 당할 경우, 그 피해 규모 면에서 전통적인 사이버 공격 방식과는 차원이 다르다는 점에서 대책 마련이 시급하다는 지적이다

◇IoT 해킹…위협강도는 상상 초월=아침에 일어나 말 한마디로 창문을 여는 일에서부터 거실 불을 켜고 자동차 시동을 걸어 회사로 출근하는 일상을 가능케 해 주는 IoT 시대가 머지않았다. 가트너는 2022년까지 일반 가정에서 500개 이상의 사물이 인터넷으로 연결될 것으로 보고 있다. 기기 수가 늘어나면서 지켜야 할 정보들이 많아지는 것은 당연하다. 미래창조과학부와 한국인터넷진흥원(KISA)이 진행한 2016년 정보보호실태조사에 따르면 개인들은 IoT 기술이 상용화될 때 우려되는 부분으로 ‘개인정보 침해 위협 증가’(36.8%)를 가장 많이 꼽았다. ‘관리 취약점 증대’(27.7%)와 ‘사이버 공격 강도 및 가능성 증대’(21.2%)를 우려 요인으로 꼽은 이들도 적지 않았다.

올해 초 미국 중앙정보국(CIA)이 해킹 툴로 스마트TV를 이용해 사용자들을 감시해 온 정황이 폭로 전문 웹사이트 위키리크스에 의해 드러나면서 IoT 기기에 대한 공포심이 극에 달하고 있다. 일반 TV와 달리 자체 운영체제(OS)가 있어 인터넷에 접속 가능한 스마트TV는 미국 가정의 절반 정도가 보유하고 있다.

공유기도 해커들의 집중 타깃이다. 한국인터넷진흥원이 2012년부터 지금까지 실시하고 있는 IoT 취약점 신고 포상제 접수 건수는 해마다 늘고 있다. 이 기간 공유기에 대한 취약점 접수 건이 342건(57%)으로 가장 많았다. 허술한 비밀번호를 악용해 공유기 관리자 페이지에 불법으로 로그인하거나 공유기 DNS(도메인 네임 서버) IP를 강제로 변경해 파밍 공격을 할 경우 공격자가 원격으로 공유기에 임의 명령을 실행하는 경우 등의 취약점이 노출됐다.

스마트홈 시대가 도래하면서 위협 요소가 더 많아진 것도 사실이다. 원격으로 가스 밸브를 잠그거나 전등을 켜고 끌 수 있는 스마트홈 콘트롤러가 탑재된 아파트가 점점 늘고 있다. 하지만 홈 콘트롤러 사용을 위한 별도 인증 절차가 없어 다른 집의 콘트롤러를 사용해 가스 밸브를 열거나 전력 사용을 유발하는 사례도 한국인터넷진흥원에 신고됐다. 보안업계 관계자는 “수많은 IoT 기기들이 사용되지 않는 순간에도 인터넷에 연결돼 있기 때문에 해커들은 언제든지 공격할 수 있는 환경”이라며 “기기들이 대중화될수록 위협의 강도는 높아질 것”이라고 우려했다.

◇비번 재설정 등 기본 보안 수칙조차 ‘엉망’ ==‘123456’. 온라인상에서 사람들이 가장 많이 쓰는 비밀번호다. 지난해 월스트리트저널(WSJ)은 비밀번호 관리 애플리케이션을 만드는 ‘스플래시데이터’가 해커들이 온라인에 올린 비밀번호 200만건을 분석한 결과를 공개했다. ‘123456’에 이어 두 번째로 많이 나온 비밀번호는 ‘password(비밀번호)’였고 ‘12345678’, 키보드 맨 윗줄 왼쪽에서 차례대로 치면 나오는 ‘qwerty’가 세 번째, 네 번째로 많이 등장했다.

비밀번호 설정의 허술함을 노리는 대표적인 기기가 공유기다. 공유기 설치 후 기본으로 설정된 관리자 계정과 비밀번호를 사용해 공격의 대상이 되는 경우가 상당히 많다는 것이 보안업계 관계자들의 전언이다. 해커들은 공유기 제조사가 홈페이지를 통해 PDF 형태로 제공하는 사용설명서에 적힌 비밀번호로 공유기에 접근을 시도한다. IP카메라에서도 비밀번호를 허술하게 설정해 개인 영상이 노출되거나 악성코드에 감염되는 사례가 빈번히 발생하고 있다.

개인이 아무리 대비를 철저히 한다고 해도 완벽할 순 없다. 제도적인 보완이 뒷받침돼야 한다는 지적이다. 미국 국토안보부는 지난해 11월 IoT 보안에 대한 원칙을 발표한 바 있다. 미래창조과학부도 지난해 IoT 공통 보안 가이드라인을 만들었다. 정부는 기기들의 개발 단계에서부터 보안을 강화해야 한다는 점을 업계에 설파하고 있다.

‘IoT 보안인증제’ 도입도 추진 중이다. 정보통신망법 등 관련법 개정을 통해 필요할 경우 IoT 분야 특별법을 제정하고 홈·가전 분야에 대한 IoT 보안인증을 시범 적용한 뒤 자동차, 제조, 의료, 에너지 등의 핵심 분야로 인증제를 확대한다는 계획이다. 한국인터넷진흥원 관계자는 “IoT 협회 등과 협의해 상반기 중으로 IoT 기기 식별 체계를 마련하고 모니터링 체계를 구축할 예정”이라며 “IoT 위협요인 감소를 위한 예방활동과 긴급 대응 체계를 마련하는데 주력할 것”이라고 말했다.