주목할 사이버 위협, '5G 기반 IoT 해킹'.. 보안내재화 필요
[IT동아 정연호 기자] 한국인터넷진흥원(KISA), 사이버버위협 인텔리전스 네트워크, 한국·호주·인도·스리랑카 침해사고대응팀이 공동으로 발표한 ‘2021년 사이버 위협 전망’에 따르면, 내년도 주요 보안 위협 중 하나가 ‘5G를 이용한 사물인터넷(IoT) 제품의 활성화로 인한 새로운 보안 위협’이다.
IoT 기기는 보안 기능이 제한적이거나 없는 경우가 많기 때문에 공격하는 게 상대적으로 쉽다. 지난해에 등장한 IoT 봇넷 악성코드 ‘dark_nexus’는 중국, 한국, 태국, 브라질, 러시아 등 전 세계를 공격했으며, 라우터, 영상 리코더, 열화상 카메라 등을 포함해 1천 300대가 넘는 다양한 IoT 기기를 감염시켰다.
5G를 활용한 IoT 기반 서비스가 확대되면서, 의료, 스마트 홈, 스마트 공장, 스마트 농업 등 전 산업군의 실제 생활 영역에 IoT가 적용됐고 이에 따라 생활과 밀접화된 공격도 증가하고 있다. 앞으로도 IoT 기기에 저장된 개인정보를 탈취하거나, 이를 악성코드 유포지로 활용하는 등 사이버 공격이 증가할 것으로 예상된다.
최근 국내에서도 아파트 단지의 월패드(인터폰) 카메라가 해킹되면서, 거주자의 사생활이 담긴 영상이 다크웹에 거래된다는 사실이 밝혀진 바 있다. 월패드는 가정마다 벽면에 붙어 있는 단말기로, 도어락, 난방 등의 IoT 기기를 제어하거나 외부 방문자를 확인할 때 이용하는 장치다. 경비실이나 다른 가구와 영상으로 통화할 수 있도록 카메라가 달려 있는데, 해커가 이를 해킹해 집 안을 촬영했다.
아파트 등의 공동주택은 전체 세대가 하나의 네트워크 망에 연결된 구조라, 한 세대가 해킹되면 다른 세대까지 연쇄적으로 피해를 보게 된다. 이에 따라, 거주자들은 월패드 카메라를 스티커 등으로 가리는 임시방편에 기댈 수밖에 없는 상황에 처하게 됐다.
IoT 기기의 보안이 제한적인 이유는 디바이스가 초경량·저전력·저성능 특성을 지니고 있기 때문이다. 기존 PC 환경에서 사용하던 암호화 알고리즘은 복잡하고 무거워서, 이를 IoT 디바이스에선 구현하기가 어렵다. 컴퓨터와 달리 범용적으로 사용되는 게 아니라, 특정 용도에 맞춰 삽입되므로 IoT에 탑재하는 CPU나 메모리는 필요 최소한으로 설정된다.
IoT 보안을 위해서 가장 필요한 전략으로 꼽히는 게 ‘보안의 내재화’다. 보안의 내재화란 IoT 기획 단계부터 보안성과 안정성, 신뢰성을 함께 고려해 필요한 최소한의 기능만 선별하고, 복잡도를 줄인 뒤 이를 기반으로 제품을 구현한다는 뜻이다. 초경량 보안기술을 요구하며, 보안에 대한 전문지식이 없는 제조사와 이용자도 쉽게 적용할 수 있게끔 설계해야 하므로 쉽지 않은 과제다.
국내 기업에선 카카오뱅크와 삼성전자, LG전자 등이 보안의 내재화를 도입했다. 다만, 전문가들은 모의해킹 등으로 보안의 취약점을 발견하면, 업데이트를 통해 보완하는 방식이 여전히 일반적이라고 지적한다. 문제는 이 단계에서 보안의 문제점을 찾지 못했다고 해서, 보안의 취약점이 없는 게 아니라는 것이다.
카카오뱅크는 보안의 내재화를 위해 어떤 보안이 필요한지를 먼저 명확히 한 후, 안전한 모바일뱅킹 서비스 개발에 성공한 사례로 꼽힌다. 보안 절차가 복잡해지면 그만큼 이용자들은 불편해한다. 시중은행이 보안을 목적으로 이용자에게 비밀번호를 어렵게 설정하고, 또 이를 자주 변경하라고 요구하는 것처럼 말이다.
카카오뱅크는 금융 업무에서 공인인증서를 빼고, 생체인식’, ‘인증서(PKI)’, ‘화이트박스 암호화’ 등의 복잡한 기술은 개발팀과 상의해 단순하고 쓰기 편한 형태로 융합했다. 이러한 편리성을 고객에게 인정받아, 빠르게 성장할 수 있었다.
KISA는 IoT 보안의 내재화를 위한 ‘사물인터넷 공통 보안 7대 원칙(공통 보안원칙)’을 발표했다. 우선, 정보보호와 프라이버시 강화를 고려한 IoT 제품, 서비스를 설계하는 게 중요하다. 설계 단계에서 제품 및 서비스가 적용될 환경을 기반으로 보안 취약점을 사전에 분석하여, 이를 보완하고 강화할 수 있는 기술을 적용해야 한다.
두 번째는, 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증이다. 개발단계에서 시큐어코딩(소스코드 구현단계부터 보안 취약점을 예방하기 위해 기능을 설계, 구현하는 보안 활동), 보안성이 적용된 앱과 소프트웨어, 하드웨어 장치를 활용해야 한다.
세 번째는, 안전한 초기 보안 설정 방안을 제공하는 것이다. 네 번째는, 보안 프로토콜을 준수 및 안전한 파라미터를 설정하는 것이다. IoT는 경량 장치들 간 및 경량 장치와 플랫폼 간의 정보 공유 시 적용 환경을 고려한 경량화 보안 프로토콜을 사용해야 한다. 이와 더불어 사용자의 인증 및 인증된 사용자의 접근 권한을 안전하게 관리하는 방식에서도 검증된 보안 프로토콜의 적용과 경량화를 고려해야 한다
다섯 번째는 IoT 제품과 서비스의 취약점 보안패치를 지속적으로 이행하는 것이다. 여섯 번째는, 안전한 운영, 관리를 위해서 정보보호와 프라이버시 관리체계를 마련해야 한다. 사용자의 정보를 취득-사용-폐기하는 전 단계에 걸쳐, 정보보호 및 프라이버시 관리 방안이 포함돼야 한다. 마지막은 IoT 침해사고 대응체계와 책임추적을 확보하는 방안을 마련하는 것이다.
글 / IT동아 정연호 (hoho@itdonga.com)