(New스토리)사물인터넷, 안전성 도마위…보안 먼저 해결해야

공통의 보안 기준·방화벽 강화 노력 시급

입력 : 2015-09-03 오후 1:23:22
사물인터넷(Internet of Things) 하면 떠오르는 이미지가 있다. 스마트한 기계들이 환상적인 서비스를 제공하는 광경이다. IoT 기술을 접목한 기기는 주인이 손 하나 까닥하지 않아도 목적지로 이동한다. 몸이 아프면 담당 의사에게 연락해 진료 예약을 잡아주고 집안의 습도가 높으면 가습기를 틀어 쾌적한 환경을 만든다. 기기들은 인터넷 상에서 사람처럼 상호 간에 소통도 한다. 집주인도 없는 데 전력 사용량이 계속 늘어나면 기기들은 서로 협의해 불필요한 활동을 멈추고 에너지를 절약한다. IoT로 채워진 세상은 유토피아를 방불케 한다. 그러나 아무리 좋은 약이라도 그 효과에 상응하는 부작용이 있듯이, IoT는 여러가지 문제를 안고 있다. 인터넷에 접속한 기기 수가 많아진 만큼 해커의 공격 범위 또한 넓어졌고 기기 간 정보 교류가 활발해진 것을 틈타 개인 정보가 유출될 가능성 또한 높아졌다.
 
◇2020년쯤 IoT 기기 300억대 작동
 
스마트한 기기가 인간의 삶을 윤택하게 할 것이란 기대감이 높다. 빅데이터(Big Data)를 다루는 기술이 발전해 기계와 기계, 사람과 기계 간 정보 교류가 쉬워졌다. 인터넷 상에 널브러져 있던 막대한 정보들이 쓸 수 있는 정보로 재가공 된 덕분이다. 아직은 초기 단계라 시장 규모가 미미하지만, IoT 시장은 기술이 개발되는 속도 이상으로 빠르게 확대되고 있다. IBM 시큐리티인텔리전스는 오는 2020년까지 의료기기와 자동차, 집 등에 2120억개의 IoT 기기가 탑재되고 그 중 300억개가 가동될 것으로 전망하고 있다. 금액으로 따지면 9조달러(1경633조5000억원) 규모의 초특급 시장이 탄생하는 것이다. 이 예상대로라면 IoT는 오는 2017년쯤 세계 개인용 컴퓨터(PC)와 태블릿, 휴대전화를 모두 합친 것보다 더 큰 시장을 이루게 된다. IoT가 기업들 사이에서 “황금알을 낳는 거위”로 통하는 이유이다.
 
 
◇해킹, IoT에 어둠의 그림자 드리워
 
빛이 있으면 그림자도 있는 법이다. IoT는 보안과 개인정보 보호 면에서 치명적인 약점을 지니고 있다. IoT 기기 수가 너무 많아지다 보니 일일이 관리하기 어려운 데다 해킹 공격에 매우 취약하다. 원래 컴퓨터가 두 대 이상 연결되면 그 사이에 해커가 비집고 들어갈 만한 환경이 조성된다. 특히 최종 소비자들을 위해 디자인된 프로그램 혹은 프로그램의 집합체인 앱(App)이 해커의 공격에 고스란히 노출된다. 해커는 스마트폰 앱과 PC 솔루션을 분석하는 IDA 프로(Pro)를 해체하고 프로그래밍 언어인 소스코드를 통해 암호를 알아내면 새로운 앱을 만들어 낼 수 있다. 해커는 이 앱을 자기 마음대로 조종하고 그 안에 있는 개인 정보도 얼마든지 조회할 수도 있다. 사용자의 재미와 편의를 위한 효자앱이 좀비앱으로 바뀌는 것은 순식간이다. 전자 기기와 플랫폼, 프로그램이 서로 연계돼 있다 보니 한 번 공격을 당하면 그게 어디서 발생한 것인지 알기도 쉽지 않다. 기기 제조업자와 서비스 공급자(플랫폼), 프로그램 제작자(앱)가 각 단계에서 보안 능력을 강화할 수도 있지만, 이렇게 하면 비용이 너무 커져 사업성을 잃게 된다. 적의 공격을 막으려면 성벽을 높여야 하는 데, 돌봐야 할 영토가 너무 넓어져 어디부터 손을 대야 할지 알 수 없는 지경에 이르렀다.
 
아울러 이 3개 업체 간 소유권 분쟁이 발생할 소지도 다분하다. 사용자가 앱을 사용하면 개인 정보를 남기게 되는 데, 이렇게 취합된 정보가 앱을 만든 프로그램 업자의 것인지, 기기 제조업체나 플랫폼의 소유인지 여전히 불명확하다. 기업 간 분쟁뿐 아니라 기업과 사용자 간 대립도 예상된다. 기업 입장에선 가능한 한 많은 정보를 취합하려 한다. 온도 측정 기기를 팔았다면 분 단위로 온도를 체크하려 할 것이다. 그러나 서비스 사용자는 분 단위 체크가 불필요 하다고 느낄 수 있다. 자정부터 새벽 4시까지의 온도 변화에도 관심을 둘 이유가 딱히 없다. 너무 세세한 정보는 자신의 편의를 오히려 해칠 수 있다고 여길 수 있다.
 
기업들은 지적 재산권과 결재 시스템, 고객들의 신상 내역이 털리게 생기고 기술 문제가 발생할 수 있는 데도 이렇다 할 대책을 내놓지 못하고 있다. 한국인터넷진흥원(KISA)은 IoT 해킹으로 인한 경제적 피해를 18조원으로 내다보고 있다. 이는 자연재해와 사이버공격 피해 예상 손실액인 2.7조원과 3.6조원을 훌쩍 웃도는 수치다.
 
◇오작동 우려·관리 어려움 문제 남아
 
기술 문제도 남아있다. IoT가 오작동하지 않으리란 보장이 없다. 국제보안전문기관 SANS 연구소는 전문가들을 상대로 향후 5년 내 발생할 수 있는 IoT 위험요소에 관한 설문조사를 한 결과, 응답자의 31%가 앱 패칭(patching) 관리를 최대 위험 요소로 꼽았다. 패칭은 프로그램 오류를 정정하기 위해 잠시 동안 사용하는 응급 수리를 말한다. 병원의 경우 환자의 몸 상태를 체크하고 관련 정보를 타 병원과 공유하기 위해 IoT를 도입하려 한다. 그런데 이 과정에서 패칭 관리가 이뤄지지 않아 환자들의 개인 정보가 잘못 전달될 가능성을 배제할 수 없다. 만약 이런 우려가 현실이 되면 당뇨병 환자에게 설탕을 권유하는 일이 벌어질 수 있다.
 
규모를 개인에서 도시나 생산공장으로 확대해 보면 문제는 더욱 심각해진다. 가령 원자력 발전소에 있는 연료봉에 IoT 기술이 적용됐다고 치자. 핵연료봉은 모두 연소되면 방사능이 새어 나올 우려가 있어 제때 교체해 줘야 한다. 그런데 IoT가 수명이 다 된 연료봉을 더 쓸 수 있다고 오판하면 방사능 유출 사고가 터질 수 있다. 컨설팅 업체 맥킨지는 보고서를 통해 “해킹 공력이 많은 사람들의 생명을 위협할 수도 있다”고 경고한 바 있다. 물론 지금 사용되는 기계들도 같은 문제를 안고 있다. 그러나 일반 기계 보다 사람의 통제를 덜 받는다는 특성 때문에 IoT 안전성 논란이 끊이지 않고 있다. 딕 부시에 네트워크 보안 전문가는 최근 “IoT는 적절한 보안 테스트를 거치지 못할 것”이라며 “발전소나 스마트 카, 스마트 냉장고, 온도 조절 장치 등 IoT 기기들은 10~20년 동안 업데이트되지 않고 방치될 수도 있다”고 지적했다.
 
 
◇IoT 보안 분야에 기업 자금 유입
 
그나마 구글과 IBM, 인텔, 애플과 같은 몇몇 세계적인 IT 기업들이 IoT 미결 과제를 해결하고자 투자 규모를 늘리고 있는 점은 고무적이다. 이들 기업은 제품과 서비스를 개발하는 동시에 보안 문제를 해결하기위해 애쓰고 있다. 여기에는 IoT 이면에 숨겨진 위험을 하나씩 제거해야 인터넷 시대의 주인이 될 수 있을 것이란 계산이 깔려있다.
 
인텔은 이미 개인정보 식별 프로토콜을 새롭게 구성해 IoT 기기 간 정보 전송을 안전하게 할 수 있는 기술력을 확보했다. 프로토콜은 정보기기 사이에 정보교환이 필요한 경우, 이를 원활하게 하기 위해 정한 여러 가지 통신규칙이나 방법에 대한 약속 또는 통신 규약을 의미한다. 또 인텔은 마이크로칩 테크놀로지와 손잡고 개인 정보 보호 기술을 개발 중이다. 브라이언 크르자니크 인텔 최고경영자(CEO)는 지난달 18일 “IoT 보안은 반도체 칩에 적용되는 것 보다 더 강화돼야 할 것”이라고 강조하기도 했다. IBM도 IoT 비즈니스 강화를 위해 향후 4년간 30억달러를 투자할 것이라고 밝힌 상태다. 이런 글로벌 기업들의 틈바구니에서 안티바이러스 기업 사만텍은 IoT 솔루션 개발에 10억달러를 투입하면서 보안 기술 경쟁에 합류했다.
 
◇보안 기준 마련 시급·전직원 보안 교육 중시
 
IoT에 특화된 최소한의 사이버 보안 기준이 마련 돼야 한다는 목소리도 높다. 하나의 서비스에 3개 업체가 얽혀 있는 만큼 상호신뢰를 높이기 위해 공통의 아이덴티티페더레이션(Identity federation)이 나와야 한다는 주장이다. 이는 개인 정보를 복수 이상의 사업체가 공동으로 소유할 수 있게끔 관리해주는 시스템이다. 사용자 간 직접 접속(Peer-to-Peer) 방식처럼 중앙 통제에서 벗어나 스스로 인증할 수 있는 환경도 요구된다. 시장조사기관 IDC는 “개별 기기 보안을 강화하던가 파트너 회사들의 서비스를 하나로 통합하지 않으면 엄청난 문제가 발생할 것”이라고 지적했다.
 
미 연방무역위원회(FTC)의 권고는 이보다 더 구체적이다. FTC는 우선 모든 기업 직원들에 대한 보안 훈련을 강조하고 있다. 기기 제작업체와 서비스 공급자, 프로그램 제작자 모두가 보안 의식을 지니고 있어야 한다는 것이다. FTC는 침입 시도에 대한 탐지와 대응을 동시에 한다는 심층방어(defense-in-depth) 전략 개념과 기기의 수명이 다할 때까지 관찰하는 모니터링 전략도 제시했다.
 
기업과 더불어 정부의 노력 또한 병행 돼야 한다는 의견에도 무게가 실린다. 개인 프라이버시 침해 방지 제도가 IoT 환경에 맞게 재편해야 한다는 것이다. 사용자가 알지 못하는 센서가 제품에 장착되는 일이 없도록 기업 규제 수위를 높여야 한다는 주장도 나온다. 이에 미국 정부는 IoT 특별법을 재정하는 것은 아직 이르나, 기업들이 소비자 보호를 위해 먼저 적극적인 조치를 취해줄 것을 당부하고 있다. 영국 정부는 지난해 12월 세계 최고의 IoT 국가가 되겠다는 계획을 세우고 스마트 시티 프로젝트에 수천만 파운드를 투입하기로 했다.
 
윤석진 기자 ddagu@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
윤석진 기자
윤석진기자의 다른 뉴스