사물 인터넷의 사물이 해킹된다면? Managing the Intenet of (Hackable) Things

인류의 삶이 중앙처리장치의 지배를 받으면서, 사이버 보안은 정부와 기업뿐만 아니라 이제 개인의 평온한 삶을 책임져야 하는 과제까지 안게 되었다. 특히 오늘날 사물 인터넷과 자율 주행 자동차, 진화하고 있는 이동 수단 등 여러 가지 혁명이 동시다발적으로 진행되면서, 보안에 대한 위협이 갑자기 더 커졌고, 이제 즉각적 대응이 필요한 상황으로 돌변하고 있다. 무엇이 우리의 삶을 위협하고 있는가? 현존하는 사이버 위협은 어느 수준인가? 정부와 기업, 개인은 이러한 위협에 어떻게 대응해야 하는가? 라이프스타일, 프라이버시, 기업의 수익성 등 각 측면에서 이 문제를 살펴보자.

사물인터넷(IoT)이 일상의 비즈니스와 삶을 혁명적으로 변화시키고 있다. 기술 리서치 회사 가트너(Gartner) Inc.는 2016년 하루 평균 약 550만 개에 달하는 거의 모든 유형의 제품들이 인터넷에 연결되고 있으며, 2016년 말에는 65억 개의 기기들이 네트워크화 되었고, 이 수치는 2015년 기준 30% 증가한 것이라고 밝혔다. 이 속도라면 2020년에 이르러 약 208억 개의 기기가 인터넷에 연결될 것이다.

그렇다면 사물인터넷에 연결되고 있는 사물(Things)은 어떤 것들일까? 거의 모든 것이라고 봐도 무방하다. 신생아 모니터링 기기, 웨어러블 피트니스 트랙커, 의료 기기, 폐쇄회로 보안 카메라, 도난 경보기, 스마트 온도조절장치, 자동차, 토스터, 냉장고, 식기세척기, 스마트 TV, 스마트 시계, 디지털 카메라, 애완용 목걸이, 전자 장치, 공장 기계, 파워 그리드, 정수 필터 등 수도 없이 많다.

맥킨지 & 컴퍼니 글로벌 연구소는 2025년 사물인터넷의 전체적인 경제 수혜 규모가 연간 3조9천억 달러에서 11조1천억 달러가 될 것으로 보고 있다. 이 기술은 분명히 부를 창출하는 데 상당한 기회들을 열어주고 있는 것은 확실하다. 물론 그러한 기회들이 모두 합법적인 것은 아닐 것이다. 합법적 비즈니스들은 사물인터넷을 통해 수익을 발생시키는 다양한 방식에서 운용될 것이지만, 반면 사이버 범죄 또한 그러한 잠재력에 버금갈 만큼 기승을 부릴 수 있기 때문이다.

이것은 단순히 누군가의 토스트를 태운다거나, 냉장고의 아이스크림을 녹이는 형태의 위협은 아닐 것이다. 물론 그러한 가능성도 열려 있다. 그러나 실제 더 치명적인 위협은 홈 네트워크에 접속하여 보안이 취약한 부분을 공격하는 것으로, 범죄자들이 개인 정보 혹은 금융 정보를 훔치는 것이다. 왜 훔치는지는 굳이 설명하지 않아도 될 것이다.

이런 일이 아직은 시기상조라고 생각하는 사람들이 있을 것이다. 그러나 정말 그럴까? 최근 FBI가 발표한 내용을 보자.

"빈약한 보안 능력과 사물인터넷의 취약점, 여기에 소비자들의 보안 인식 부족으로, 사이버 범죄자들이 이러한 기기를 이용할 수 있는 기회가 발생하고 있다. 범죄자들은 원격으로 다른 시스템을 공격하기 위해, 악의적인 스팸성 이메일을 보내기 위해, 개인 정보를 훔치기 위해, 혹은 보안을 방해하기 위해, 이러한 기회를 활용할 수 있다. 사물인터넷의 주요 위협은 다음과 같다."

- 수많은 사물인터넷 기기에 접근하기 위한 UPnP(universal plug and play, 마이크로소프트 사가 제창한 것으로 각종 가전 제품을 홈 네트워크에 접속하는 인터페이스 규격. 윈도 운영 체제가 가지고 있는 플러그 앤드 플레이 기능을 가전으로 확장한 것)의 악용. 이 프로토콜은 어떤 기기가 원격적으로 연결되어 인증 없이 자동적으로 네트워크와 소통할 때의 프로세스를 형성하는 것이다. UPnP는 특정 IP 어드레스에 속할 때 스스로 자동 설정되도록 고안되었기 때문에, 보안에 매우 취약한 구조를 갖고 있다. 사이버 범죄자들은 설정을 바꿀 수 있고, 기기에 명령을 내릴 수도 있다. 잠재적으로 기기에서 민감한 정보를 뽑아내거나 가정과 사업장에 대한 공격도 감행할 수 있다. 디지털 도청도 가능하다.

- 악의적인 스팸 메일을 발송하기 위해 혹은 개인 식별 정보나 신용카드 정보를 훔치기 위한 디폴트(default, 초기설정) 패스워드의 이용

- 물리적 피해를 야기하기 위한 사물인터넷 기기 조작

- 기기를 동작 불능 상태로 만들기 위한 과부하

- 비즈니스 거래 방해

스마트 시계 내의 모션 센서와 같은 사소한 기술조차도 범죄에 악용될 수 있는데, 사용자의 건강관리 목표를 추적하기 위한 기술 용도가 손의 움직임을 해킹으로 모니터링하여 신용 카드의 패스워드 입력을 낚아 채가는 것으로 바뀔 수도 있다.

또한 해커는 봇네트(botnet, 일종의 군대처럼 악성 봇에 감염되어 명령·제어 서버에 의해 제어당하는 대량의 시스템들로 구성된 네트워크. 수십에서 수만 대의 시스템이 동시에 명령을 전달받아 실행하여 대규모의 네트워크 공격 등 다양한 악의의 행위가 가능하다)를 만들기 위해 사물인터넷 기기의 통제권을 빼앗을 수도 있다.

수년 전, 보안 회사 프루프포인트(Proofpoint)사가 최초의 사물인터넷 봇네트를 적발한 바 있다. 이 봇네트에 감염된 기기의 1/4은 신생아 모니터링 기기, 텔레비전, 기타 비전통적인 컴퓨팅 기기였다.

2016년에는 수쿠리 시큐러티(Sucuri Security)사가 해킹 당한 폐쇄회로 보안 카메라 25,500대 이상으로 구성된 봇네트를 적발했다. 이 봇네트는 서비스 거부 공격(denial of service attacks, 서버가 처리할 수 있는 능력 이상의 것을 요구하여, 그 요구만 처리하게 만듦으로써 다른 서비스를 정지시키거나 시스템을 다운시키는 것) 방식인데, 상업용 웹사이트들을 공격하기 위한 목적으로 사용되고 있었다.

이러한 카메라들은 해커들에게 아주 매력적인 목표가 되는데, 지난해에만 2억5천5백만 대가 공격 대상으로 노출되어 있었기 때문이다. 소비자들을 둘러싼 수많은 카메라들과 더불어 디폴트 패스워드는 거의 변하지 않기 때문에 누구나 그 카메라들에 수월하게 접근할 수 있는 상태였다.

사실 가장 큰 위협은 프라이버시나 금융 정보의 잠재적 도난이 아니다. 사물인터넷의 취약한 보안 프로토콜로 가능한 공격이 인간의 생명을 잃게 할 수도 있다.

「ZDNET」의 한 포스트에 따르면, 인터넷 보안 전문가 브루스 슈나이어(Bruce Schneier)가 최근 인포시큐러티 유럽(InfoSecurity Europe) 컨퍼런스에서 커넥티드 카(connected cars)의 취약성에 대해 경고했다.

"우리가 자동차를 생각하면, 그 취약성의 위협이 훨씬 더 심각하다는 사실을 알게 된다. 이것은 생명과 재산에 대한 실질적인 위기이기도 하다."

브루스 슈나이어는 해커들이 운전자의 프라이버시를 침해하는 것도 나쁘지만 더 크고 나쁜 위협에 대해 밝히고 있다.

"브레이크를 불능 상태로 만든다면? 1년이나 2년에 한 번 정도라도 자동차 CPU에 랜섬웨어(ransomeware)를 설치하는 방법을 누군가가 파악했다면? 이것은 웃을 일이 아니라 컴퓨터가 존재하는 한 상존하는 위협이 된다."

랜섬웨어는 해커 공격의 한 형태로, 침입자가 희생자의 컴퓨터, 전화, 자동차 등을 작동 불능 상태로 만드는 것이다. 감염된 컴퓨터는 시스템에 대한 접근이 제한되며 이를 해제하려면 해커가 요구하는 금전을 제공해야 한다. 자동차 핸들이나 브레이크가 다시 작동하도록 하는 것도 마찬가지다. 시맨텍(Symantec)사는 이러한 범죄자들이 매년 희생자들로부터 5백만 달러 이상을 갈취하고 있지만, 돈을 받았다고 약속을 이행하는 것도 아니라고 말한다.

이러한 위협이 자신의 자동차에는 해당되지 않을 것으로 생각한다면 순진하고 어리석은 생각이다. 해커들은 자동차 브레이크나 액셀에 대한 통제권을 쉽게 장악할 수 있고, 일단 피해를 입히면 사고를 당할 수 있다는 협박으로 돈을 즉각 보낼 것을 요구하고 있다.

이것은 전혀 특별한 일이 아니다. 컴퓨터 전문가들의 조사에 따르면 이미 이러한 일은 충분히 가능한 것으로 증명되었다. 실제로 2011년, 캘리포니아 대학교와 워싱턴 대학교의 연구진들은 쉐보라 임팔라의 도어락 기능과 브레이크 기능을 원격으로 불능 상태로 만들 수 있었다.

2015년, 「와이어드(Wired)」지는 크리스 발라세크(Chris Valasek)와 찰리 밀러(Charlie Miller)라는 화이트 해커를 통해 지프 체로키를 원격으로 통제할 수 있음을 보도했다. 기자 중 한 명이 세인트 루이스 고속도로에서 해당 체로키를 운전했고, 해커들은 자신의 집에서 원격으로 이 SUV의 에어컨과 라디오, 와이퍼 등을 조작했다. 운전자가 할 수 있는 것은 아무 것도 없었다.

이 조작은 이들 해커들이 다음에 시도한 조작에 비하면 아무 것도 아니었다. 이들은 체로키의 변속기를 마비시켰고, 액셀 기능을 무력화함으로써 자동차 속도를 현저하게 감속시켰다. 18인치 핸들은 제대로 작동되지 않아 자동차는 통제 불능 상태가 되었다. 해커들은 지프의 브레이크 기능도 마비시켜 운전자가 브레이크를 밟아도 기능이 발휘되지 않게 만들었다.

두 해커는 그들이 CAN bus라 불리는 엔진과 브레이크, 타이어에 명령을 주관하는 컴퓨터 네크워크의 취약성을 공격했다고 밝혔다. 이 보도가 나간 뒤, 피아트크라이슬러(FiatChrysler)는 문제를 해결하기 위해 140만대의 자동차를 리콜해야 했다. 그러나 모든 차주가 리콜에 응답한 것은 아니기 때문에, 현재 도로 위에는 이러한 위협에 노출된 자동차들이 여전히 운행 중이다.

최근 우버(Uber)의 첨단기술센터(Advanced Technology Center)에 채용된 발라사크와 밀러는 연이어 액셀을 작동시키거나 운전대를 통제하는 방법을 통해 지프를 180도 회전시키는 등 아무 것도 할 수 없는 운전자와 동승자에게 치명적인 결과를 초래할 수 있는 가능성도 밝혀냈다.

한편 2016년 8월, 미시건 대학교 과학 팀은 그들이 트럭을 해킹해 대시보드 패널의 디스플레이를 변화시켜 텅 빈 연료 탱크가 가득찬 것처럼 보이게 만들 수 있다고 밝혔다. 감속을 하려는 운전자의 의도와 달리 트럭을 가속시킬 수도, 트럭의 브레이크 시스템의 하나를 비활성화시키는 것도 가능했다.

미시건 연구진 중 한 명인 빌 하스(Bill Hass)는 "트럭들은 위험한 화학물질과 많은 양의 화물을 수송하며, 국가 경제의 근간을 담당하고 있다. 그런데 누군가가 트럭을 해킹해 의도치 않게 가속을 시킨다면... 얼마나 나쁜 일들이 발생할 것인지를 생각하는 것이 어렵지 않을 것이라 본다"고 밝혔다.

트럭을 해킹하는 일은 승용차를 공격하는 것보다 더 쉽다. 승용차는 다양한 회사들이 다양한 형태의 시스템을 사용하지만, 모든 트럭과 스쿨 버스는 J1939라는 표준 시스템을 공유하기 때문이다. 따라서 범죄자나 테러 조직이 이 소프트웨어에 침투하는 방법을 배운다면, 수천 대의 트럭들이 통제 불능 상태에 빠지는 재앙이 발생할 수 있다.

이러한 현 보안 위기를 고려하면, 우리는 앞으로 4가지의 미래를 예측할 수 있다.

첫째, 제조사와 소비자들이 연결성(connectivity)에 대한 니즈와 보안에 대한 니즈 사이에서 균형을 찾을 것이다. 문제는 제조사들이 커넥티드 제품을 시장에 먼저 선보이려는 경쟁을 하고 있다는 점이다. 이러다 보니 대부분의 경우, 제조사들은 보안이나 소비자 프라이버시에 대한 안전을 먼저 고려하는 시간을 할애하지 못하고 있다. 심지어 조잡한 보안 프로토콜이 그 자리를 대체하고 그마저도 최종 소비자들의 무관심의 대상이 되기도 한다.

실제로, 커넥티드 제품의 구매자 대부분이 디폴트 패스워드에 대한 재설정에 서투르고, 이로 인해 현관문이 밤낮으로 열려 있는 것처럼 침입자에게 무방비로 개방되어 있다. 자동차의 경우, 켈리 블루 북(Kelly Blue Book)가 조사한 서베이는 사용자의 42%, 밀레니얼 세대의 60%가 그들 자동차가 커넥티드되기를 희망하는 것을 보여준다. 그러나 2/3는 그러한 자동차가 쉽게 사이버 범죄자들의 표적이 되리라곤 생각하지 못하고 있다.

둘째, 사물인터넷 기기에 대한 최고 수준의 보안을 제공하는 기업들은 앞으로 큰 수익을 얻을 것이다. 인터넷 보안에 있어 전체 시장 규모는 2020년까지 1천700억 달러로 성장할 것으로 보인다. 사물인터넷 보안은 현 전체 시장의 9%를 차지하지만, 2020년까지 매년 최소 16%씩 성장할 것이다. 조사 전문 기업 마켓&마켓(Markets&Markets)사가 수행한 연구는 사물인터넷 시장이 2015년 68억9천만 달러에서 2020년이 되면 280억9천만 달러로 성장할 것으로 예측한다. 2015년에서 2020년까지 연평균 33.2%의 성장이다.

이러한 시장을 선도하고 있는 두 기업으로 젬알토(Gemalto)와 마이크로소프트가 있다. 젬알토 사는 모바일 결제 보안을 제공하는 기업이다. 이 기업은 그들의 시큐어 엘레먼트(Secure Element) 플랫폼을 자동차 제조사와 유틸리티 회사까지 확대하고 있다. 쉽게 조작될 수 없는 젬알토의 기술이 기기에 장착되어, 데이터를 암호화하고 기기 간 접근을 제한함으로써 안정적 보안을 제공할 수 있다. 마이크로소프트는 비트라커(BitLocker) 암호화와 시큐어 부트(Secure Boot) 기술을 윈도우 10 사물인터넷 운영 시스템에 탑재하고 있다. 비트라커는 침입자로부터 데이터를 보호할 수 있도록 전체 디스크 볼륨을 암호화할 수 있다. 시큐어 부트는 신뢰할 만한 소프트웨어만으로 부팅을 하게 함으로써 PC를 해킹으로부터 보호해준다.

셋째, 비즈니스 사업자와 개인들은 그들 스스로 인터넷에 연결하는 모든 사물의 보안에 주의를 기울이지 않는다면 사물인터넷 기기에 대한 해킹으로 큰 고통을 받을 것이다. FBI는 다음과 같은 조치를 취할 것을 권고한다.

- 자체 보호 네트워크에서 사물인터넷 기기를 개별화하라

- 라우터에서 UPnP를 해제하라

- 사물인터넷 기기가 의도된 목적에 맞는지 고려하라

- 보안 시스템을 제공하는 제조사의 사물인터넷 기기를 구매하라

- 가능하다면, 사물인터넷 기기의 보안 패치를 업데이트 하라

- 가정과 비즈니스 내 장착된 기기의 성능을 인지하라 디폴트 패스워드를 변경하고 보안 와이파이 네트워크 하에서만 운용되게 하라

- 사물 인터넷 기기를 무선 네트워크에 연결할 때, 그리고 원격으로 사물인터넷 기기에 접속할 때, 현재 최상의 보안 운용 조건을 준수하라.

- 원격 의료 관련 기기의 성능에 대해 인지하고, 데이터 전송 혹은 원격 진료가 가능한 기기일수록 해커의 표적이 될 수 있음에 주의하라

- 모든 디폴트 패스워드는 보안을 생각하여 강력한 패스워드로 변경하라. 기기 제조사가 설정한 디폴트 패스워드를 계속 사용하지 마라

넷째, 커넥티드 자동차 시장이 확대될수록, 자동차와 트럭 제조사들은 사물인터넷 보안에 더 큰 주의를 기울일 것이다. "I AM the Cavelry"로 불리는 사물인터넷 보안 단체의 공동 설립자 조시 코만(Josh Corman)은 자동차 제조사들이 개선 노력보다 상황이 더 빠르게 악화되고 있음을 경고하고 있다. 해킹이 가능한 신제품을 출시하는 데 1년이 걸린다면, 그것을 보호하는 조치를 취하는 데는 현재 4∼5년이 소요된다는 것이다.

「와이어드(Wired)」지에 따르면, 이 단체는 자동차 제조사들에게 5가지를 권고한다.

- 공격 여지를 줄이는 더 안전한 설계

- 객관적인 제3자 테스트

- 내부 모니터링 시스템 구축

- 어떠한 공격에도 피해를 최소화하는 분할된 아케텍처 구축

- 보안 소프트웨어 업데이트

다행히도, 일부 제조사들이 개선 작업을 시작하고 있다. 포드와 BMW는 자동차 구매자를 딜러나 정비소에 방문시키기보다는 인터넷을 통해 보안 소프트웨어 업데이트를 전송해주기 시작하고 있다. 크라이슬러는 최근 버그 포상(bug bounty) 프로그램을 선언했다. 이것은 자동차의 취약점을 알려주는 해커들에게 현금을 지불하는 보상 프로그램이다.

***

글로벌 트렌드 DB 서비스는 美 Trend Magazine社과 정식계약으로 제공되는 지식 정보 콘텐츠입니다.

글로벌 트렌드 DB 서비스는 전 세계 2만여 명의 각 산업별 전문가들이 혁신 기술, 문화, 경제, IT, 바이오, 나노테크, 인터넷 등 각 분야에서 세계 경제 지도를 바꾸는 트렌드를 선정하고, 지식과 정보, 오피니언을 하나의 콘텐츠로 묶어, 세계의 현재와 미래를 알고 분석, 예측할 수 있도록 안내하는 프리미엄 서비스입니다.

본 글로벌 트렌드 콘텐츠는 저작권법의 보호를 받는 콘텐츠입니다.

(이용문의 - 네오넷코리아, 02-539-3233)