[데이터넷] 가정용 공유기, IP 카메라 등 기업이나 개인 사용자의 IoT 보안 취약점을 점검받을 수 있다. 한국인터넷진흥원(KISA)은 이달부터 IoT 취약점 점검 서비스를 제공하고 있다고 밝혔다. 이 서비스는 네트워크에 연결된 기기의 취약점이 있는지 여부를 확인하고 조치할 수 있도록 하는 것으로 기업이나 일반 사용자 모두 제한 없이 신청할 수 있다. 점검 대상은 인터넷에 연결된 기기 뿐 아니라 내부 업무망의 기기도 포함된다.
이 서비스는 개인과 기업이 동의한 기기가 취약한 패스워드를 사용하는지, 알려진 취약점이 남아있는지 확인하고 적절한 대응 방법을 안내한다. IoT 취약점으로 인한 해킹사고나 사생활 유출 사고를 막을 수 있다. 분석 결과는 사용자에게 안내하며, KISA 정보호보 R&D센터에서 취약점 점검 원천 기술 연구 결과에도 적용한다.
IoT 취약점 제거해 해킹·사생활 유출 피해 예방
KISA가 이 서비스를 시작한 이유는 증가하는 IoT 기기의 보안 문제가 심각한 상황이기 때문이다. 몇 년 전 부터 가정용 IP카메라가 해킹을 당해 사생활이 유출되는 사고가 잇따르고 있으며, 가정용 공유기가 디도스 공격에 이용당하고 있다. AI 스피커, 스마트 TV 등 다양한 스마트기기가 해킹이나 랜섬웨어 피해를 입을 수 있으며, 개인정보 유출 및 사생활 침해 피해를 입을 수 있다.
이 같은 피해를 막기 위해 KISA는 개인이나 기업·기관 상관없이 취약점 점검 서비스를 제공하고 있으며, ▲UPNP 서비스 점검: 외부망(인터넷)의 원활한 연결을 지원하는 서비스 사용 유무 ▲취약한 인증 정보 점검: TELNET, SSH, FTP 등 취약한 인증 정보 사용 유무 ▲중요정보・관리페이지 노출점검: 인세캠(Insecam) 등 영상 노출 페이지 접근 가능 유무 ▲소프트웨어 취약점 점검: 사용 중인 서비스의 OS, 소프트웨어(미들웨어) 알려진 취약점 존재 유무 등을 점검한다.
한편 KISA는 이 점검이 IoT 기기 소유자의 동의를 받아야만 제공할 수 있다는 점이 한계라고 지적한다. 미라이 봇넷과 같이 IoT 감염을 통해 확산되는 악성코드는 네트워크에서 취약점을 가진 기기를 자동으로 탐색해 감염시키면서 빠르게 확산된다. 따라서 네트워크에 연결된 모든 기기를 점검하지 않으면 공격을 막을 수 없다.
일본은 국립 연구개발 법인 정보통신 연구기구(NICT) 법을 시행해 5년간 인터넷에 연결된 모든 IoT 기기를 자동으로 조사하고 대책을 적용할 수 있도록 했다.
지승구 KISA 융합보안지원팀장은 “우리나라도 일본과 같이 모든 IoT 기기를 점검할 수 없지만, 이 사례를 참고해 한시적으로 적용하면 취약점으로 인한 피해를 줄일 수 있을 것으로 본다”며 “ KISA는 과기정통부와 함께 이와 관련 중장기 방안을 수립하고 있다”고 말했다.
