사물인터넷(IoT) 보안 문제가 현실로 다가왔다. 지난해 11월 가정용 AP에 악성코드가 감염돼 DDoS 공격을 발생시켜 SK브로드밴드 서비스가 중단된 것. DDoS 공격에 이용된 AP는 1500개 가량으로 추산된다.
IoT 보안 문제를 얘기할 때 네트워크에 연결된 기기들이 일제히 DDoS 공격을 일으켜 사회기반시설을 일제히 마비시키는 경우를 예로 든다. 각종 시설에 설치된 센서부터 스마트폰, 노트북, PC, 웨어러블 기기, 스마트 가전기기, POS 등 네트워크에 연결된 기기들이 모두 DDoS 공격에 동원된다면 네트워크로 제공되는 모든 시설의 가동을 중단시킬 수도 있다.
IoT 이용해 물리적 테러 일으킬 가능성 있어
IoT 보안 위협에 대해 다소 과장된 면이 있다는 지적도 있다. 공격자들은 철저히 이익만을 추구하기 때문에 단지 자신들의 위력을 과시하기 위해 공격을 단행하지는 않을 것이며, 스마트 기기를 공격해 얻을 수 있는 이익이 없는 한 공격이 실제로 발생하지는 않을 것이라는 예측이다.
그러나 SK브로드밴드 DDoS 공격 예에서 보듯, IoT 환경에 대한 공격은 언제든지 발생할 수 있으며, 이를 이용해 금전을 요구하는 사이버 범죄집단이 나올 수 있고, 정치·사회적인 목적의 사이버 테러도 일어날 가능성도 배제할 수 없다.
IoT 환경에서 나타날 수 있는 공격 시나리오를 가정하면, 앞서 예로 든 것 처럼 여러 디바이스를 이용해 DdoS 공격을 발생시키거나 시스템을 파괴할 수있다. 원자력발전소의 네트워크 시스템을 마비시켜 관리를 할 수 없게 만들고 원전시설을 파괴하는 테러를 일으킬 가능성도 있다.
IoT의 가장 큰 수혜를 받게 될 스마트카의 경우, 차량과의 커뮤니케이션에 잘못된 정보를 내려보내 생명을 위협할 수 있다. 지능형 교통통제시스템을 공격하면 교통을 마비시키고 대규모 사고를 발생시킬 가능성도 있다.
개인이 갖고 있는 스마트 기기를 통해 개인정보가 유출되는 경우도 있다. 스마트 디바이스와 웨어러블 기기들은 금융정보, 건강과 관련된 정보, 위치정보 등을 갖고 있으며, 본인뿐 아니라 가족과 지인들의 정보도 갖고 있을 수 있다. 이러한 정보를 유출하면 지금보다 훨씬 더 심각한 전자금융사기나 신분위조를 통한 각종 범죄에 연루되는 피해를 입을 수 있다.
보안업계, IoT 보안 기술 개발 ‘분주’
IoT 보안 문제가 전 사회적인 이슈로 부상할 것으로 예상되면서 보안업계도 분주하게 움직이고 있다. IoT 환경에서 가장 먼저 공격을 받게 될 게이트웨이 단을 보호하기 위한 보안 솔루션과 하드웨어 어플라이언스가 출시되고 있다.
이러한 게이트웨이는 대체로 리눅스를 기반으로 설계되며 리눅스는 백신 솔루션이 없고 임베디드 장비로 설계·제작돼 악성코드에 감염됐을 때 치료가 어렵다. 이 때문에 백신과 방화벽 등 기본적인 보안 기술을 탑재한 보안 게이트웨이가 선보이면서 IoT 보안의 기초를 다지고 있다.
프로세서 기술 기업들은 IoT 기기 자체의 안전성을 보장하기 위해 칩 단에서 암호화할 수 있는 기술을 탑재하고 있다. 이러한 제품은 크기와 저전력이 핵심요소로 꼽힌다. 디바이스를 인증하는 과정도 중요한 요소다.
IoT는 사람의 개입 없이 사물간 통신하는 M2M 기술을 기반으로 하기 때문에 확실하게 인증받은 그 기기와 통신하는 것이 중요하다. 센서와 같이 단일 기능만을 기기의 경우 게이트웨이에서 기기인증과 통신의 안정성을 보장할 수 있어야 한다.
연결된 기기 자체의 보안도 필수다. 인터넷에 연결된 기기는 공격에 매우 취약한데, 시그니처 기반의 백신은 신종공격을 탐지할 수 없고, 최신 악성코드를 탐지하는 솔루션은 성능 문제로 기기에 탑재할 수 없다. 따라서 가볍고 최신 악성코드를 탐지하는 기술이 필수적으로 요구되며, 기기에 저장된 데이터를 보호하고 안전한 통신이 이뤄질 수 있도록 암호화와 VPN 기술이 반드시 탑재돼야 한다.
기기에서 게이트웨이로, 게이트웨이에서 중앙시스템으로 전송되는 구간의 데이터 무결성을 보장하는 기술이 필요하다. 와이파이 등의 무선 네트워크는 암호화를 하지 않은채 텍스트로 데이터를 전송하는 경우도 많으며, 암호화된 트래픽에 공격요소가 포함돼 시스템을 감염시키는 공격도 있어 전송되는 데이터의 무결성을 확인할 수 있어야 한다.
애플리케이션과 웹 보안도 IoT 보호에 있어 필수다. 위변조된 앱을 통해 공격이 발생하고, 웹을 통해 악성코드가 유포돼 연결된 디바이스가 대량 감염돼 데이터 유출이나 다른 공격에 악용될 수 있기 때문이다.
