"IoT 기술 활용 제품, 보안 위험성 높아져" … 취약점 신고포상제 활발 … 1년새 2배 급증

KISA, 작년 187건 처리
공유기 · IP카메라 '최다'

스마트TV·냉장고·세탁기 등 사물인터넷(IoT) 기술을 활용한 제품 출시가 증가하지만, 이로 인한 보안 위험성 또한 높아지고 있다.

14일 한국인터넷진흥원(원장 백기승·KISA)에 따르면 지난해 IoT 취약점 포상건수는 187건으로 전년 96건 대비 2배 가까이 증가했다. 지난 2012년에는 0건, 2013년은 1건, 2014년은 6건에 불과했다. 특히 IoT 기기 중 공유기와 네트워크카메라(IP카메라)의 취약점 건수가 가장 높은 것으로 확인됐다.

우선 공유기를 활용한 취약점 피해 사례를 보면 △취약한 비밀번호 설정을 악용한 공유기 관리자 페이지 불법 로그인 △공유기의 DNS IP 강제 변경을 통한 파밍 공격 악용 △공격자가 원격에서 공유기의 임의 명령어를 실행할 수 있는 취약점 등이 주를 이룬다.

IP카메라의 주요 취약점 사례는 △취약한 관리자 비밀번호 설정을 악용한 CCTV 영상 정보 노출 △IP카메라의 시스템 패스워드 노출 취약점을 통한 악성코드 감염 △공격자가 원격에서 CCTV에 임의 명령어를 실행할 수 있는 취약점 등이다.

KISA는 IoT 취약점을 악용한 해킹을 사전에 예방하기 위한 목적으로 'IoT 취약점 신고포상제'를 지난 2012년 시작했다. IoT 기기들이 개인의 삶과 밀접하게 연관된 만큼 예상치 못한 취약점을 악용해 사용자의 사생활을 유출하고 금전적 피해를 일으키고 심지어 생명까지 위협할 수 있는 가능성이 있기 때문이다. 예를 들면 다리미를 통해 무선 네트워크에 접속해 도청을 시도한다거나, 심박기에 내장된 전송기를 해킹, 전기 공급량을 원격 제어해 사용자의 생명을 노리는 식이다.

KISA에 따르면 현재 IoT 기기의 70%가 보안 위험에 노출돼 언제든지 해킹당해 공격받을 수 있는 상황임에도, 상당수의 IoT 디바이스 플랫폼과 통신모듈 등에 보안관련 기술이 장착되지 않은 채 사물인터넷 제품 개발이 이뤄지고 있다. 지난해 10월에는 미국서 IP카메라, DVR, 온도조절장치 등 악성코드에 감염된 IoT 장비로 인해 웹호스팅업체 딘(Dyn)이 디도스(DDoS)공격을 받아 트위터, CNN, 뉴욕타임즈 등 다수 웹사이트에 장시간 접속 장애가 발생하기도 했다.

한편 KISA는 관련 신고 중 최신 버전의 펌웨어에 영향을 줄 수 있는 신규 보안 취약점을 평가해 우수 신고 사례에 대해 30만~500만원까지의 포상금을 지급한다. 접수 받은 사례들은 제조사에 해당 조치가 요청된다. 이동연 KISA 취약점분석팀 팀장은 "침해사고 예방을 위해 보안 취약점 신고뿐 아니라 비밀번호 설정, 펌웨어 업데이트 등 이용자들의 협조도 필요하다"고 밝혔다.

이경탁기자 kt87@