이제는 IoT 해킹에 대해 논의할 때다
(학주니 이학준) 최근들어 해킹에 대한 피해사례들이 언론을 통해서 많이 공개되면서 해킹에 대한 관심이 높아지고 그만큼 경각심도 많이 높아진 것이 사실이다. 실제로 해킹은 수년 전부터 이뤄져 왔는데 해킹의 범위가 넓어지고 피해가 커지면서, 또한 그 피해가 기업 뿐 만이 아니라 개인으로 확산되면서 더 많은 주목을 받는 듯 싶다. 최근에 얘기가 나오고 있는 해킹은 주로 어떤 부분에서 이뤄지는 것일까?
일반적으로 해킹은 자신의 단말기에 저장된 정보를 정당한 방법이 아닌 비정상적인 방법으로 접근하여 가져가는 행위를 말한다. 이렇게 비정상적으로 가져간 정보들은 대부분이 민감한 개인정보들이며 그것들을 악용하여 해커들은 금전적인 이득을, 해킹을 당한 사용자들은 금전적인 피해와 정신적인 피해를 당하게 된다.
예전에는 이런 해킹의 대상이 주로 인터넷 서비스를 제공하는 서비스 서버였다. 해커들은 서비스 서버의 관리자 계정을 탈취해 그 서버의 중요 데이터들을 가져가서 악용하거나, 혹은 서비스 서버를 공격하여 서비스 서버를 다운시킴으로 서비스 운영 장애를 일으켜서 서비스 서버를 운영하는 회사에 협박하여 금전적인 이득을 취하는 경우가 대부분이었다. 2000년 이후에는 이런 해킹의 대상이 개인용 PC로 확대되었는데 인터넷 서비스의 활용이 많아지고 특히나 인터넷뱅킹이나 온라인 쇼핑몰 이용이 활발해지면서 금융 서비스의 이용정보가 개인용 PC에 저장되어있는 것을 노리고 그 정보를 탈취하기 위해 개인용 PC를 공격하게 된 것이다. 공인인증서 탈취 사태나 파밍을 통해서 가짜 사이트에 접속하게 만들어서 개인정보를 해커가 알 수 있도록 만든다던지 하는 해킹 방법들이 동원되었다.
지금은 이런 해킹의 대상이 스마트폰으로 확대되었는데 최근 통계를 보면 PC보다 더 많은 사용량을 보여주는 것이 스마트폰이라고 한다. 또 스마트폰의 특성 상 더 많은 개인화가 이뤄지고 있으며 더 많은 개인정보가 저장되어 있고 사용되고 있다. 모바일뱅킹, 모바일 쇼핑몰 이용도 더 많아지고 있으며 SNS의 이용이나 모바일 웹서비스 이용도 더 많아지고 있기 때문에 해커들의 해킹 대상이 더 많이 사용하는 플랫폼인 스마트폰으로 이동하는 것은 어쩌면 당연한 일일 것이다. 문자서비스에 악성 앱 주소가 담긴 URL을 보내서 실행시켜 그 스마트폰을 해킹하는 스미싱과 같은 해킹 기법이 요즘 악명을 떨치고 있으며 피해사례들도 많이 보고되고 있는 이유가 바로 스마트폰의 이용율이 높아짐으로 인해 해커들의 공격 대상이 바뀌었기 때문이다.
최근 스마트폰 해킹과 함께 문제시 되고 있는 해킹 대상이 있으니 다름아닌 IoT 해킹이다. IoT 단말기들을 대상으로 해킹을 시도하는 것인데 IoT 단말기의 범위나 종류가 상당히 많으나 최근 얘기가 되고 있는 것들은 스마트워치나 스마트밴드, 스마트안경과 같은 웨어러블 디바이스들이고 그 외에도 전기 자동차나 스마트홈 시스템에 들어가는 다양한 가전제품들도 해킹의 대상이 되어가고 있다.
스마트폰 의 경우 PC와 마찬가지로 모바일용 운영체제가 탑재되어 있고 PC급의 성능을 지닌 하드웨어의 특성 상 보안에 관련된 다양한 장치들이 되어있어서 사용자들이 주의한다면 충분히 해킹을 막을 수 있다. 안드로이드나 iOS와 같은 스마트폰용 OS는 일반 PC에서 사용하는 Windows, OS X, Linux, UNIX와 같은 운영체제와 구조가 비슷하기 때문에 안티 바이러스 솔루션이나 그 외에 해킹 방지 솔루션들이 잘 갖춰져 있다. 하지만 IoT 단말기들, 특히나 웨어러블 단말기들은 디자인쪽에 많이 신경을 쓰기 때문에 하드웨어의 자체 성능이 그렇게 높지가 않다. 성능이 높지 않은 하드웨어에서 IoT 솔루션을 돌리기 위해서 그 안에 들어가는 OS나 어플리케이션도 제한적일 수 밖에 없다. 당연히 보안에 관련된 부분은 시스템 성능 향상을 위해서 희생될 수 밖에 없는 구조다. 해커들은 이런 IoT 단말기들의 취약점을 노려서 해킹을 시도한다.
IoT 단말기들은 그 자체로도 돌아가지만 수집된 데이터를 전송하거나 운영 데이터를 받기 위해 스마트폰이나 혹은 서비스 서버와 연결되도록 되어있다. 앞서 얘기했듯 스마트폰이나 서비스 서버는 해킹 등에 대한 대비가 잘 되어있지만 IoT 단말기와의 연결에서는 그 헛점이 노출된다. 즉, IoT 단말기가 해킹을 당하게 되어 해킹 데이터가 연결되어있는 스마트폰이나 서비스 서버에 들어오면 그 스마트폰이나 서비스 서버도 해킹을 당할 수 있다는 얘기다. 웨어러블 단말기의 경우 그 특성 상 개인정보가 많기 때문에 그 정보들이 고스란히 해커의 손에 넘어갈 수도 있고 또 앞서 얘기했던 것처럼 정보에 대한 보안이 미흡하기 때문에 정보를 변조하여 악용할 가능성도 충분히 많다. 또 악성코드를 정보 사이에 끼어 넣어서 연결된 스마트폰이나 서비스 서버를 해킹할 수도 있다.
IoT 단말기의 종류를 좀 더 확대해보자. 최근 테슬라를 비롯하여 애플이나 구글과 같은 기업들이 전기 자동차를 만들면서 무인운전 등의 기능을 넣고 있는데 여기에 들어가는 엔진 제어 기술이나 제동 기술들이 PC나 스마트폰에서 사용하는 기술과 거의 동일하기 때문에 소프트웨어를 통해 제어를 하고 있는 상황이다. 기존 자동차들의 구조와는 다를 수 밖에 없다. 전자기기나 다름없다는 얘기다. 테슬라의 전기자동차의 경우 펌웨어를 업그레이드 했더니 최고 속력이 올라갔다고 한다. 이런 상황에서 만약 엔진 등을 제어하는 제어 소프트웨어가 해킹을 당했다고 하자. 사용자의 의지가 아닌 해커의 의지대로 운전하게 될 것이다. 그 결과는 엄청난 사고로 이어질 것은 자명한 사실이다.
스마트홈의 경우는 어떨까? 집 안의 온도 제어, 출입 제어, 전기나 수도의 제어 등이 다 자동으로 이뤄지는데 중앙의 제어장치에 의해서 이뤄지며 제어 소프트웨어가 그 작업을 담당한다. 그런데 이 제어 소프트웨어가 해킹 당했다고 생각해보자. 허가 받지 않은 사람이 얼마든지 집에 무단으로 들어갈 수 있으며 수도나 전기를 맘대로 씀으로 막대한 관리비가 청구될 수도 있다. 도둑에게 열쇠를 그냥 넘겨주는 것과 마찬가지의 피해를 입게 될 것이다. 물론 전기자동차나 스마트홈의 경우는 당장의 경우가 아닌 좀 먼 미래라고 할 수 있겠지만 이미 냉장고나 자동응답기의 해킹 사례는 언론을 통해 공개된 적이 있기 때문에 아주 먼 미래에 닥칠 상황은 아니라고 본다.
최근 IoT 열풍이 일어나면서 연결성, 편리함 등은 많이 강조되고 있고 또 언급되고 있다. 하지만 상대적으로 보안성에 대해서는 덜 언급되고 있는 것이 사실이다. 앞서 얘기한 내용들이 실제로 벌어진다면 개인적으로, 기업적으로 받는 피해가 상당히 클 텐데 그 부분에 대해서 제대로 언급이 잘 안되고 있는 것이 아쉽다. 지금이라도 늦지 않았으니 IoT 단말기에 대한 보안에 대해서 심도 깊은 논의가 필요하지 않을까 싶다.
원문 : 이제는 제대로 논의해야 할 시기가 온 IoT 해킹에 대하여