▲ 신해준 넷맨 랩스 연구소장은 ‘IoT 환경 변화에 따른 보안 패러다임 변화’라는 주제의 세션 발표를 통해 IoT 환경에서 나타날 수 있는 문제에 대해 설명했다.

지난 1월 미국에서는 아마존의 음성인식 기기 ‘아마존 에코 닷’의 음성인식 기기로 인해 한바탕 소동이 벌어졌다. 텍사스주의 한 가정에 20만원어치의 과자가 배달됐는데, 알고 보니 이 집의 6살 딸이 아마존 에코 닷의 음성인식 기능을 이용해 과자를 주문한 것이다.

소동은 이것으로 끝난 것이 아니다. 이 소식이 TV 뉴스를 통해 방영됐는데, 시청자의 가정에 있는 아마존 에코 닷이 뉴스에서 재현한 것을 실제 주문으로 인식하고 아마존에 과자를 주문한 것이다.

이 사건은 한 번 웃고 넘어갈 해프닝이 아니다. 인공지능을 탑재한 IoT 기기가 사람의 생활을 편리하게 할 수도 있지만, 예상하지 못한 곳에서 장애가 발생할 수 있다. 기기의 오류나 오작동만이 문제가 아니며, 정상 명령으로 인식되는 잘못된 명령도 충분히 가능하다.

신해준 넷맨 랩스 연구소장은 9일 서울 삼성동 인터컨티넨탈호텔에서 열린 ‘제 16회 차세대 보안 비전 2017’에서 ‘IoT 환경 변화에 따른 보안 패러다임 변화’라는 주제의 세션 발표를 통해 IoT 환경에서 나타날 수 있는 문제에 대해 설명했다.

앞서 예로 든 사고처럼, 정상 명령으로 인식할 수 있는 잘못된 명령은 물론이고, IoT 기기나 네트워크를 해킹해 정보를 빼가거나 잘못된 명령을 내리고, 도감청, 원격제어 등의 공격을 진행할 수 있다.

IoT 기기의 많은 경우 하드웨어 스펙이 충분하지 않아 보안이나 통제를 위한 별도의 솔루션을 탑재하기 어렵다. 이러한 IoT 기기가 때로는 무선 액세스 컨트롤이나 허브, 공유기의 역할을 하기 때문에 공격자에 의해 장악될 경우 더 심각한 위협이 될 수 있다.

신해준 소장은 “가벼운 IoT 기기는 리소스가 작고, 스토리지 역시 충분하지 않으며, 사용할 수 있는 IP주소도 한정돼 있어 보안 및 관리 위협이 높아진다”며 “이에 대한 대비를 하지 않으면 IoT 서비스에 많은 제약이 있을 것”이라고 말했다.

IoT 운영 위해 네트워크에 지능 부여해야

IoT 기기가 증가하면서 IPv6 수요도 늘어나고 있다. 이미 LTE 스마트폰의 절반은 IPv6를 지원하고 있으며, 2018년 평창동계올림픽 때 5G가 정식 서비스되면서 IPv6는 모든 스마트폰에서 지원된다.

이미 대부분의 애플리케이션은 IPv4와 IPv6를 동시에 지원하고 있다. 사용자가 IPv6 기반 웹 서비스를 사용하지 않는다 해도 단말에는 IPv6가 구동되고 있다. 몇 년 전 까지만해도 사용하지 않는 IPv6의 기능을 꺼 둘 것을 권장하고 있지만, 이제는 그러한 방법보다 제대로 관리할 수 있는 방법을 마련하는 것이 필요하다.

IoT에서는 수많은 기기들이 사용되기 때문에 기기가 쏟아내는 수많은 로그를 관리해야 하며, 인증과 관련된 관리·통제 이슈가 늘어날 수 밖에 없다. 또한 단말 스스로 통제 기능을 갖추기 보다 네트워크에 지능을 부여하는 방법도 제안될 것이다.

적응형 보안은 IoT에서 매우 중요한 전략이 될 것이다. 단말의 종류, OS가 늘어나고 단말의 보안 레벨이 낮아지며, 기기의 다양성은 더욱 늘어날 것으로 보인다. 이처럼 변화하는 환경에 유연하게 적용될 수 있는 적응형 보안이 필요할 것이다.

신 소장은 “IoT에서 고려해야 할 보안 원칙을 4가지로 정리하면, IPv6 환경 관리, 로그관리, 인텔리전스 네트워크, 단말 다양성을 지원하는 적응형 보안”이라며 “IoT 보안을 잘 준비해야 디지털 혁신을 이뤄나갈 수 있다”고 말했다.