[알아봅시다] IoT보안 국내외 동향

이경탁 2017. 8. 21. 18:15
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
사생활 감시·안전사고 가능성.. GSMA 등 가이드라인 마련
2020년 IoT 기기 보급 260억대 전망
대규모 디도스 공격 등 위험성 노출
전 세계 CCTV 해킹 실시간 중계까지
제조사·서비스업체 등 대책마련 분주

사물인터넷(IoT)은 사용자의 별다른 개입 없이 기기들이 서로 통신하며 편리한 서비스를 제공하지만, 보안이 고려되지 않을 경우 큰 위험이 초래될 수 있습니다. 최근 IoT 기기를 이용한 디도스 공격이나 홈CCTV가 해킹돼 영상이 실시간 유출되는 것은 시작에 불과합니다. 알려지지 않은 다양한 IoT 보안 이슈가 있으며 정교한 보안 대책을 세우지 않는다면 큰 사고는 언제든 발생할 수 있습니다.

◇현실로 다가온 IoT 보안 위협=시장조사업체 가트너에 따르면 PC, 태블릿, 스마트폰을 제외한 IoT 기기가 오는 2020년에 260억대에 이를 전망입니다. 세계연합(UN)은 2020년 세계 인구가 77억 명이 될 것으로 예상하고 있는데 세계 인구의 3.4 배에 달하는 IoT 기기가 설치 및 운영돼 실생활에서 인류에게 편리한 서비스를 제공하게 되는 것입니다.

그러나 IoT 기기가 해킹된다면 이는 불편함으로 바뀔 수 있다는 점을 고려해야 합니다. IoT에 보안이 고려되지 않아 발생한 사고 사례는 많습니다.

안나센빠이라는 ID를 사용하는 해커는 지난해 '미라이(Mirai)'라는 악성코드를 제작해 IoT 장비를 대상으로 봇넷을 구성하고, 600Gbps 이상에 해당하는 악의적인 공격 트래픽을 발생시켜 대규모 디도스(DDoS) 공격이 가능한 것을 보여줬습니다. 봇넷은 스팸메일이나 악성코드 등을 전파하도록 하는 악성 봇에 감염돼 해커가 마음대로 제어할 수 있는 좀비 PC로 구성된 네트워크입니다.

러시아 보안업체 카스퍼스키랩에 따르면 지난해 4분기 봇넷을 사용한 디도스 공격 표적에 든 나라가 67곳이었습니다. 이 중 중국을 향한 공격이 전체 공격의 71%로 1위를 차지했고, 미국은 18.7%로 2위, 한국이 9.42%로 3위에 꼽혔습니다.

러시아에서 운영 중인 '인세캠(Insecam)'이라는 사이트에는 국내에 설치된 CCTV 수백 대를 포함한 전 세계의 해킹된 CCTV 영상이 실시간으로 중계되고 있습니다. 빌딩 로비, 수영장, 개인 사무실, 백화점 매장 등 불특정 장소가 다수 포함됐으며, 인세캠 이용자는 별다른 로그인 절차 없이도 해킹된 CCTV 영상을 시청할 수 있습니다. 국내에서는 러시아 인세캠 사이트가 유해 사이트로 지정돼 접속할 수 없지만, 해외에서는 해킹된 국내 CCTV 기기가 전송하는 영상을 시청하는 것입니다.

◇활발해지는 IoT 보안 가이드 개발=IoT 보안을 고려하지 않을 경우 해킹으로 인한 장애, 사생활 감시, 심지어는 안전 문제까지 발생할 수 있습니다. 세계 각국은 IoT 제품 및 서비스의 보안 내재화를 위한 IoT 보안 가이드를 발표했으며 우리 정부도 IoT 보안인증제 시행을 지난 7월 발표했습니다. 이제는 사용자 보호를 위해 IoT 보안 준수가 필수 사항이며 보안을 서비스 기능으로 인식해 차별화 요소로 가져갈 필요가 있습니다.

지난해 2월 세계이동통신사업자협회(GSMA)는 IoT 시장의 안전한 서비스 발전과 확산을 촉진하기 위해 'GSMA IoT 보안 가이드라인'을 발표했습니다. 모바일 업계의 조언을 받아 작성된 이 가이드라인은 IoT 서비스 제공자, IoT 기기 제작자, GSM(유럽 이동통신 시스템)망 운영자를 포함한 IoT 생태계의 모든 참여자를 위해 제작됐습니다. 잠재적 위협에 대처하는 기술과 방법, 그리고 이를 실행하는 방안에 대한 개략적인 설명을 통해 서비스 제공자들이 보안 서비스를 구축하도록 방향을 제시하고 있습니다.

국내에서도 지난해 9월 한국인터넷진흥원(KISA)이 산·학·연 전문가와 얼라이언스를 구성해 'ICT 융합제품 및 서비스의 보안 내재화'를 위한 'IoT 공통 보안 가이드'를 발표했습니다. 일반적으로 IoT 보안 환경은 센서·기기, 네트워크, 플랫폼·서비스 계층으로 구분되는데, 이 가이드라인은 산업을 특정하지 않고 공통적인 보안을 서술하며 디바이스 계층의 보안만 다루고 있습니다.

또 KISA는 지난 7월 IoT 보안 얼라이언스 제4차 정기회의에서 '홈·가전 IoT 보안 가이드'를 발표했습니다. 스마트 TV, 스마트 냉장고, 홈CCTV, 네트워크 카메라, 디지털도어록, 공유기 등 실생활에 사용되는 가전을 대상으로 보안 구현 방법과 사례를 제시하고 있습니다.

이경탁기자 kt87@dt.co.kr

자료제공=정보통신기술진흥센터(IITP)

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.