아파트 망분리로 '월패드 해킹' 막는다...안정성과 가격 경쟁력 갖춘 보안 솔루션 필요

[IT동아 정연호 기자] 집 안의 가전을 원격으로 관리하는 월패드를 해킹한 사건이 발생하면서, 정부는 아파트 내 세대 간 망분리를 의무화했다. 망분리란 가구별로 네트워크 망을 분리하는 기술을 말한다. 아파트 등의 공동주택은 단지 내 전체 세대가 하나의 네트워크 망에 연결돼 있어서, 세대 하나가 해킹되면 다른 세대로 피해가 확산할 위험이 있다. 세대 간 망을 분리하면 세대 간 연결고리를 자를 수 있게 된다.

지난해 11월, 700여 개의 아파트 주민의 모습이 담긴 영상이 다크웹에서 비트코인으로 거래된다는 사실이 밝혀졌다. 문제의 원인은 세대마다 설치된 월패드. 월패드란 집안의 출입문, 조명, 냉난방 등을 원격 제어하는 장치를 말한다. 월패드를 해킹해 그 안에 있는 카메라 영상을 유출한 것이다. 월패드 해킹은 집 안에 설치된 여러 IoT(사물인터넷) 기기를 통제하게 된다는 점도 문제다.

스마트기기로 집안의 IoT 기기를 원격조정하는 스마트홈이 인기를 끌면서 신축 아파트에 월패드를 설치하는 경우가 많아졌다. 이에 따라, 신축 아파트 주민들의 월패드 해킹에 대한 우려도 점점 커졌다. 게다가 우리나라는 주거 구조가 아파트 등의 공동 주택을 중심으로 이뤄져 있다. 이로 인해 아파트 건축 단계부터 망분리 의무화가 필요하다는 주장이 오랫동안 제기됐다.

이에 정부는 작년 12월 ‘지능형 홈네트워크 설비 설치 및 기술 기준’을 개정해 세대 간 망분리를 의무화하고 올해 7월 1일부터 이를 시행하도록 했다. 건설사 등은 홈네트워크 장비를 설치할 때 개정된 고시 내용을 준수해야 한다.

개정된 주요 내용은 아파트 관리 주체에게 홈네트워크 설비 유지‧관리 매뉴얼 제공, 물리적 또는 논리적 방법으로 세대별 홈네트워크 망분리, 기밀성·인증·접근통제 등 보안 요구사항을 충족하는 홈네트워크 장비 설치, 정보통신망법에 따라 정보보호 인증을 받은 기기 설치 권고이다. 다만, 망분리 의무화는 새로 짓는 건물에만 적용된다는 지적이 나온다. 이에 당장 피해를 볼 수 있는 아파트에도 망분리를 적용해야 한다는 게 보안 전문가들의 설명이다.

망분리는 물리적 망분리와 논리적 망분리 두 가지로 구분된다. 물리적 망분리는 외부 네트워크와 내부 네트워크를 같이 구축해, 물리적으로 망을 분리한다. 보안성이 높지만 시스템을 구축하는데 많은 비용이 들어가고, 설계 후 환경 변화가 어렵다.

논리적 망분리는 가상화 기술을 통해 망을 분리한다. 대표적으로, 서버와 세대를 연결하는 네트워크에 각 세대로만 연결되는 가상 터널(데이터 전송 통로)들을 구축하는 VPN(가상사설망)이 있다. 논리적 망분리는 물리적으로 여러 개의 망을 설치하지 않아도 돼 구축 비용이 저렴하다.

다만, 망분리를 할 때 비용을 누가 지불해야 할지는 여전히 결론을 내기 어렵다는 지적이 나온다. 한국정보통신진흥협회 연구에 따르면 500세대 규모 아파트에서는 7억 5815만 원, 개인 세대당 151만 원 수준의 망분리 비용이 발생한다. 구축비용 이외에도 유지 관리 비용이 들어간다고 한다.

IoT 보안 솔루션 기업 시큐리티플랫폼의 황수익 대표는 “VPN을 통해서 망분리를 할 수 있지만, 비용 문제가 발생한다. VPN 장비의 원가를 절감하면서 보안을 동시에 잡을 수 있는 기술이 임베디드칩 방식이다”라고 설명했다. 그의 설명에 따르면, 임베디드칩을 사용하면 논리적 망분리 비용을 크게 줄여서 가격 경쟁력을 갖추게 된다.

현재 부평의 한 신축 아파트는 시큐리티플랫폼의 엑시오 브이피엔(AXIO-VPN)을 적용해 세대별로 망을 분리했다. 황 대표는 “이번 개정안에서 강조하는 게 홈네트워크의 안정성이다. 보안성뿐 아니라 홈네트워크가 안전하게 작동될 수 있는 것에 초점을 맞춰야 한다”고 말했다.

그는 “망분리를 위해 월패드에서 암호화 터널링(VPN)을 하면 장애가 발생할 가능성이 커진다. 암호화는 많은 연산 리소스를 잡아먹는다. 다른 앱과 충돌할 가능성이 커진다. 또, 월패드의 다른 기능에 영향을 주기도 한다”고 말했다. 이어, “집마다 IT엔지니어가 있는 게 아니기 때문에 월패드에 장애가 생기면 즉각적으로 대응하기가 어렵다. 시큐리티플랫폼은 이런 이유로 VPN 모듈을 활용하고 있다”고 전했다.

하지만, VPN 모듈은 크기가 크고 모든 세대마다 설치하기엔 비용이 부담스럽다는 문제가 발생한다. 시큐리티플랫폼은 VPN 모듈의 경량화와 원가 절감을 위해서 임베디드칩을 활용했다. 임베디드칩이란 칩에 직접 코딩을 해서 최적화된 프로그램을 심는 방식을 말한다. 윈도 같은 무거운 OS(운영체제)가 아닌 가벼운 임베디드 OS를 사용하고, 불필요한 요소를 모두 제거하기 때문에 사용하는 CPU나 메모리의 리소스가 적다. 칩에 내장되는 CPU나 메모리의 크기를 줄여 VPN 모듈도 경량화할 수 있으며, 하드웨어 원가도 절감할 수 있다.

황 대표는 시큐리티플랫폼의 엑시오 브이피엔에는 하드웨어 안전 영역(시큐어존)이 존재한다고 강조했다. 시큐어존에 암호키를 넣으면, 이를 통해 월패드의 신원 인증만 가능하고 암호키를 복제하거나 탈취할 수 없게 된다. 메모리의 읽기, 쓰기, 실행 세 가지 기능 중 읽기와 쓰기를 막아 놨기 때문이다. 읽기와 쓰기 권한이 없으므로 외부에서 암호키를 읽거나 조작할 수 없다.

한편, 망분리는 보안의 만병통치약이 아니라는 지적도 나온다. 모든 세대가 동일한 월패드 제품을 사용하면, 한 세대의 월패드를 해킹해도 공통된 취약점을 파악하는 문제가 발생할 수 있다. 또한, 스마트폰과 월패드를 연결하는 통신 과정에서 해킹이 시도될 수도 있다.

황수익 대표는 “월패드는 홈네트워크의 관문이다. 가장 중요하고 취약할 부분이다. 이런 부분에 먼저 보안 시스템을 구축하고, 다른 취약점들도 하나씩 개선하는 과정이 필요하다”고 말했다.

글 / IT동아 정연호 (hoho@itdonga.com)