지난해 미국 주요 인터넷 서비스 기업을 중단시킨 미라이 봇넷은 CCTV의 제조상 결함을 이용한 것이다. 미라이 봇넷 소스코드가 공개된 후 미라이에 감염된 봇의 포트를 닫는 멀웨어가 등장해 미라이 봇넷 확산을 막는 순기능을 했지만, 이 봇의 정체는 아직 알려지지 않았으며, 향후 또 다른 공격에 악용될 가능성도 여전히 남아있는 상황이다.
미라이 봇넷과 같은 악성 봇넷은 쉽게 제작되고 대규모로 확산될 수 있다. 봇넷은 보안에 취약한 IoT 기기를 이용해 공격을 진행하는데, 반려동물 모니터링을 위해 설치한 가정용 CCTV가 해킹돼 사생활 동영상이 중국 성인 사이트에 중계되는 사고가 지속적으로 신고되고 있으며, 가정용 공유기를 이용해 대규모 디도스 공격이 발생하기도 한다.
가정에서 사용하는 가전기기가 네트워크에 연결되면서 공격자가 홈 네트워크 통제권을 고스란히 손에 넣을 수 있는 환경이 마련됐다. 스마트TV, 냉장고, 드론, 스마트폰, 가정용 네트워크 스토리지, 셋톱박스, 공유기 등 수많은 기기들이 네트워크에 연결돼 있지만, 제대로 보호되지 않으며, 관리자 ID/PW 조차 설정되지 않았거나 공장 출하 당시의 기본 값으로 설정된 채 가동되고 있는 상황이다.
관리하기 어려운 홈 IoT 기기를 보호하기 위해서는 제조 단계에서부터 기기와 네트워크, 데이터를 보호하는 기술이 탑재돼야 한다. IoT 디바이스에서 운영되는 OS와 애플리케이션을 보호하고, 데이터를 암호화하며, 기기 식별과 인증, 물리적인 접근통제까지 고려해 제조돼야 한다.
정부와 민간업체들이 ‘홈․가전 IoT 보안가이드’를 만들어 배포하면서 홈 IoT 보안 수준 제고를 위해 힘을 합했다. 미래창조과학부와 한국인터넷진흥원(KISA), 국내외 사물인터넷 제조․서비스 업체, 보안업체, 학계, 공공기관 등 60여 기관이 공동으로 참여하는 민간 주도 IoT 보안 협의체인 사물인터넷(IoT) 보안 얼라이언스는 지난해 9월 ‘IoT 공통 보안가이드’를 발표하고 그 후속조치의 하나로 ‘홈․가전 IoT 보안가이드’를 만들어 18일 발표했다.
이번에 발표한 가이드는 이날 열린 제 4차 정기회의를 통해 결정된 것으로, 홈․가전 분야의 IoT 제품·서비스 개발자 등이 설계 단계부터 보안성을 확보하기 위해 참조할 수 있도록 했다. 가이드는 얼라이언스, 산·학·연 전문가 등 민간 주도로 개발됐으며, 홈․가전 IoT 기기에서 요구되는 보안항목과 이를 반영하기 위한 다양한 구현방법 및 사례를 제시하고 있다.
향후 관련 산업계, 학계 등에 가이드를 배포하고, 홈 IoT 기기 개발자․제조사를 대상으로 교육도 추진할 계획이다. 이를 통해 홈IoT 산업의 경쟁력 강화에 도움을 줄 뿐만 아니라, 국민들이 안심하고 스마트홈 서비스를 누리기 위한 초석이 될 것으로 기대된다.
홈․가전 IoT 보안항목과 세부요구사항은 다음과 같다.
▲소프트웨어 보안= 시큐어코딩, 알려진 보안취약점 점검과 제거, 최신 써드파티 소프트웨어 사용
▲물리적 보안= 외부 인터페이스 접근 보안, 내부 디버그 포트 접근 보안, 부채널 공격 대응, 메모리 공격 및 역공학 공격 대응
▲플랫폼 보안= 설정값 및 실행코드 무결성 검증, 안전한 업데이트, 감사기록
▲인증= 인증 및 접근통제, IoT 디바이스간 상호인증
▲암호화= 안전한 암호 알고리즘 사용, 안전한 암호키 관리, 안전한 난수 생성 알고리즘 사용
▲데이터 보호= 안전한 통신채널, 저장 및 전송 데이터 보호, 개인정보보호
