[포럼] 사물인터넷 보안, 국가차원 대응 절실하다

염흥열 순천향대 정보보호학과 교수

  •  
  • 입력: 2019-01-10 18:07
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
[포럼] 사물인터넷 보안, 국가차원 대응 절실하다
염흥열 순천향대 정보보호학과 교수
사물인터넷은 사물에 센서와 통신 기능을 내장해 인터넷에 연결시켜 주는 네트워크다. 수도, 가스, 공장 등 사회기반시설과 스마트 시티까지 널리 이용될 전망이다. 대표적인 사물인터넷 기기는 가정에서 이용되는 무선 공유기와 스마트 TV 등 스마트 가전 기기, 병원에서 이용되는 자기공명장치(MRI)와 심장박동기 등 스마트 의료 기기, 컨넥티드 차량의 스마트 통제장치, 공장, 창고, 유치원, 학원, 매장 등에서 이용되는 아이피 카메라 등이다.

사물인터넷 기기의 보안이 매우 취약하다. 이의 원인은 언제나 인터넷에 연결되어 동작하고 있고, 대부분 전 세계 어디서나 기기로의 접근이 가능하다는 점을 들 수 있다. 또한 기기 이용자의 보안 인식 미흡으로 인해 안전하지 않은 비밀번호를 이용하는 점, 기기 제조업자가 기기의 보안 취약성을 제거하기 위해 보안 패치 기능을 제공하지 않고 있다는 점 등을 들 수 있다. 예를 들어, 기기 이용자를 인증하기 위해 이용되는 비밀번호가 공장에서 설정되어 있는 비밀번호 (예 admin)를 사용하거나 보안에 매우 취약한 비밀번호(예 1234)를 사용하는 경우가 있다.

이럴 경우 해커는 사물인터넷 검색 엔진을 이용해 언제든지 기기의 취약성을 알 수 있고, 기기를 해킹해 기기의 통제권을 넘겨받을 수 있게 된다. 이에 더해 기기의 보안 취약성이 일반적으로 패치 되지 않기 때문에 해커가 원하면 동일한 보안 취약성을 갖는 다른 기기를 공격할 수 있다.

사물인터넷 보안 리스크는 해킹된 기기를 통해 민감한 개인 사생활이나 민감 정보가 고스란히 유출 및 노출되는 것이다. 컨넥티드 차량이 해킹되면 긴급 제동을 할 수 없어서 결과적으로 운전자의 생명을 위협할 수 있고, 환자의 심장박동기가 해킹되는 경우 환자의 생명을 직접적으로 영향을 준다.

이러한 공격에 어떻게 효과적으로 대응할 수 있을까? 보안 취약성을 제거하는 사전 보안 조치와 사후 보안 점검 체계를 갖추는 것이다. 예를 들어, 보안에 취약한 비밀번호의 이용을 자제해야 하며 기기의 보안 취약성은 조속히 패치 되어야 한다. 또한 누군가 해킹된 기기를 찾아 기기를 안전한 상태로 되돌려야 한다. 현재 국내에서는 이러한 보안 대책의 구축과 운영이 미흡한 게 사실이다. 또한 기기 이용자가 이러한 취약성이 있다는 점을 인식하지 못하고 있다.

국가 차원 사후 대책으로 한국인터넷진흥원과 같은 보안 전담 기관에서 보안 취약성을 갖는 기기를 찾아 낸 후 보안 취약성이 있는 기기 이용자에게 발견된 취약점을 알리고 제거하게 만드는 사물인터넷 보안 관리체계의 구축과 운영이 필요하다. 이 체계가 올바르게 작동하기 위해선 보안 전담기관이 이러한 역할을 수행할 수 있도록 법제도적 근거가 마련돼야 하고, 이를 수행하기 위한 전문 인력과 기술 및 관리적 역량을 확보해야 하며, 해당 기기의 이용자에게 연락을 취하기 위한 기존 인터넷 망 사업자간의 협력 체계의 구축도 필요하다.

예를 들어, 어떤 기관에서 운영하는 기기가 보안에 취약한 '1234' 와 같은 비밀번호를 이용하고 있다고 가정하자. 이럴 경우, 해커는 사물인터넷 기기의 보안 취약성을 알려주는 사물인터넷 검색엔진을 이용해 해당 기기가 보안에 취약한 비밀번호를 사용하고 있다고 쉽게 알 게 된다. 이렇게 되면 해커는 해당 기기에 접근할 수 있으며, 이를 통해 습득한 개인정보를 유출하거나 분산서비스공격에 해당 기기를 이용할 수 있다. 따라서 이러한 공격을 막기 위해서는 한국인터넷진흥원과 같은 보안 전담기관이 보안 취약성을 갖는 기기를 찾아내어 기기를 관리하는 이용자에게 이를 알려서 해당 취약성을 제거하도록 해야 한다.

이 체계를 위해선 두 가지 선결 과제가 해결되어야 한다. 하나는 보안전담기관이 기기의 취약성 점검 행위가 '정보통신망이용촉진 및 정보보호 등에 관한 법'의 제48조 ①항에서 규정하고 있는 정보통신망 침해 행위와의 관련성이 없는지를 검토할 필요가 있다. 또한 보안전담기관이 기기 이용자에게 해당 보안 취약점을 연락하려면 해당 기기 이용자의 연락처가 필요하게 되어 이러한 연락처 정보를 소지하고 있는 인터넷망사업자의 협력 체계 구축이 필요하다.

일본이 취한 사례를 참조할 필요가 있다. 일본은 작년 5월 일본 전기통신사업법과 정보통신연구기구(NICT)법을 개정해 정보통신연구기구가 보안에 취약한 비밀 번호를 이용하는 기기를 찾아 일본 인터넷망사업자에게 해당 기기의 아이피(IP) 주소를 제공하고 해당 인터넷망사업자가 해당 취약성을 통보할 수 있게 하는 법제도적 기반을 마련했다. 이러한 법적 기반의 유효기간은 향후 5년으로 한정했고, 일본 총무성은 이에 대한 구체적인 조치를 규정하는 시행령을 제정했고, 2019년부터 이를 본격적으로 시행할 예정이다.

필자는 우리나라의 사물인터넷의 보안 체계를 구축하기 위해서는 일본의 선행 사례가 적극 참조되어야 한다고 생각한다. 최근 한국인터넷진흥원이 국내 기기 취약점 정보가 대량 노출되고 있는 문제를 해결하기 위해 '사물인터넷 취약점 점검 시스템(가칭)' 관련 연구를 진행하기 위한 플랫폼 구축을 마친 것으로 확인되고 있는 것은 늦은 감이 있지만 적절한 조치라고 판단된다. 필자는 이러한 노력이 연구 차원을 넘어서 본격적으로 시행되기를 기대하며, 확실한 법제도적 근거 하에 시행되어야 한다고 생각한다. 전방위적 공격을 막기 위해서는 다면적 대책이 필요하다. 정부에 의한 기술적 연구개발과 국내외 표준화 활동 지원이 요구된다. 기기 제조업자에 협조가 절대적이며, 보안 및 프라이버시 내재화 원칙에 근거한 기기의 제조 및 배포, 설치, 운영이 필요하다. 또한 인터넷망사업자와 한국인터넷진흥원에 대한 역할 할당 및 협업 체계 운영도 필요하다. 또한 기기를 운영하는 이용자의 인식제고를 위한 활동도 필요하다. 법제도적 기반을 마련하는 것이 대책의 시작이라고 생각한다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사