07. 사물인터넷이 해킹된다면?
<2018~2028 핫이슈 빅트렌드>
인류의 삶이 중앙처리장치의 지배를 받으면서, 사이버 보안은 정부와 기업뿐만 아니라 이제 개인의 평온한 삶을 책임져야 하는 과제까지 안게 되었다. 특히 오늘날 사물인터넷과 자율 주행 자동차, 진화하고 있는 이동수단 등 여러 가지 혁명이 동시다발적으로 진행되면서, 보안에 대한 위협이 갑자기 더 커졌고, 이제 즉각적 대응이 필요한 상황으로 돌변하고 있다. 무엇이 우리의 삶을 위협하고 있는가? 현존하는 사이버 위협은 어느 수준인가? 정부와 기업, 개인은 이러한 위협에 어떻게 대응해야 하는가? 라이프스타일, 프라이버시, 기업의 수익성 등 각 측면에서 이 문제를 살펴보자.
사물인터넷이 일상의 비즈니스와 삶을 혁명적으로 변화시키고 있다. 기술 리서치 회사 가트너 nIc.는 2016년 하루 평균 약 50만 개에 달하는 거의 모든 유형의 제품들이 인터넷에 연결되고 있으며, 2016년 말에는 65억 개의 기기들이 네트워크화되었고, 이 수치는 2015년 기준 30% 증가한 것이라고 밝혔다. 이 속도라면 2020년에 이르러 약 208억 개의 기기가 인터넷에 연결될 것이다. 그렇다면 사물인터넷에 연결되고 있는 ‘사물’은 어떤 것들일까? 거의 모든 것이라고 봐도 무방하다. 신생아 모니터링 기기, 웨어러블 피트니스 트랙커, 의료 기기, 폐쇄회로 보안 카메라, 도난 경보기, 스마트 온도조절 장치, 자동차, 토스터, 냉장고, 식기세척기, 스마트 TV, 스마트 시계, 디지털카메라, 애완용 목걸이, 전자 장치, 공장 기계, 파워 그리드, 정수 필터 등 수도 없이 많다.
맥킨지&컴퍼니 글로벌 연구소는 2025년 사물인터넷의 전체적인 경제 수혜 규모가 연간 3조 9천억 달러에서 11조 1천억 달러가 될 것으로 보고 있다. 이 기술은 분명히 부를 창출하는 데 상당한 기회를 열어주고 있는 것은 확실하다. 물론 그러한 기회들이 모두 합법적인 것은 아닐 것이다. 합법적 비즈니스는 사물인터넷을 통해 수익을 발생시키는 다양한 방식에서 운용될 것이지만, 반면 사이버 범죄 또한 그러한 잠재력에 버금갈 만큼 기승을 부릴 수 있기 때문이다. 이것은 단순히 누군가의 토스트를 태운다거나, 냉장고의 아이스크림을 녹이는 형태의 위협은 아닐 것이다. 물론 그러한 가능성도 열려 있다. 그러나 더 치명적인 위협은 홈 네트워크에 접속하여 보안이 취약한 부분을 공격하는 것으로, 범죄자들이 개인 정보 혹은 금융 정보를 훔치는 것이다. 이런 일이 아직은 시기상조라고 생각하는 사람들이 있을 것이다. 그러나 정말 그럴까? 최근 FBI가 발표한 내용을 보자.
“빈약한 보안 능력과 사물인터넷의 취약점, 여기에 소비자들의 보안 인식 부족으로 사이버 범죄자들이 이러한 기기를 이용할 수 있는 기회가 발생하고 있다. 범죄자들은 원격으로 다른 시스템을 공격하기 위해, 악의적인 스팸성 이메일을 보내기 위해, 개인 정보를 훔치기 위해 혹은 보안을 방해하기 위해 이러한 기회를 활용할 수 있다. 사물인터넷의 주요 위협은 다음과 같다.”
▶ 수많은 사물인터넷 기기에 접근하기 위한 UPnP(universal plug and play: 마이크로소프트가 제창한 것으로 각종 가전제품을 홈 네트워크에 접속하는 인터페이스 규격. 윈도 운영 체제가 가지고 있는 플러그 앤드 플레이 기능을 가전으로 확장한 것)의 악용. 이 프로토콜은 어떤 기기가 원격적으로 연결되어 인증 없이 자동으로 네트워크와 소통할 때의 프로세스를 형성하는 것이다. UPnP는 특정 IP 어드레스에 속할 때 스스로 자동 설정되도록 고안되었기 때문에 보안에 매우 취약한 구조를 갖고 있다. 사이버 범죄자들은 설정을 바꿀 수 있고 기기에 명령을 내릴 수도 있다. 잠재적으로 기기에서 민감한 정보를 뽑아내거나 가정과 사업장에 대한 공격도 감행할 수 있다. 디지털 도청도 가능하다.
▶ 악의적인 스팸 메일을 발송하기 위해 혹은 개인 식별 정보나 신용카드 정보를 훔치기 위한 디폴트(default: 초기설정) 패스워드의 이용
▶ 물리적 피해를 일으키기 위한 사물인터넷 기기 조작
▶ 기기를 동작 불능 상태로 만들기 위한 과부하
▶ 비즈니스 거래 방해
스마트 시계 내의 모션 센서와 같은 사소한 기술조차도 범죄에 악용될 수 있는데, 사용자의 건강관리를 추적하기 위한 기술이 손의 움직임을 해킹으로 모니터링 하여 신용카드의 패스워드 입력을 낚아채 가는 것으로 바뀔 수도 있다. 또한, 해커는 봇네트(botnet: 일종의 군대처럼 악성 봇에 감염되어 명령·제어 서버에 의해 제어 당하는 대량의 시스템들로 구성된 네트워크. 수십에서 수만 대의 시스템이 동시에 명령을 전달받아 실행하여 대규모의 네트워크 공격 등 다양한 악의의 행위가 가능하다)를 만들기 위해 사물인터넷 기기의 통제권을 빼앗을 수도 있다.
컴퓨터 전문가들의 조사에 따르면 이미 이러한 일은 충분히 가능한 것으로 증명되었다. 실제로 2011년, 캘리포니아 대학교와 워싱턴 대학교의 연구진들은 쉐보라 임팔라의 도어락 기능과 브레이크 기능을 원격으로 불능상태로 만들 수 있었다. 2015년, 〈와이어드〉는 크리스 발라세크와 찰리 밀러라는 화이트 해커를 통해 지프 체로키를 원격으로 통제할 수 있음을 보도했다. 기자 중 한 명이 세인트루이스 고속도로에서 해당 체로키를 운전했고, 해커들은 자신의 집에서 원격으로 이 SUV의 에어컨과 라디오, 와이퍼 등을 조작했다. 운전자가 할 수 있는 것은 아무것도 없었다. 이 조작은 해커들이 다음에 시도한 조작에 비하면 아무것도 아니었다. 이들은 체로키의 변속기를 마비시켰고, 액셀 기능을 무력화함으로써 자동차 속도를 현저하게 감속시켰다. 18인치 핸들은 제대로 작동되지 않아 자동차는 통제 불능상태가 되었다. 해커들은 지프의 브레이크 기능도 마비시켜 운전자가 브레이크를 밟아도 기능이 발휘되지 않게 만들었다. 두 해커는 그들이 CAN bus라 불리는 엔진과 브레이크, 타이어에 명령을 주관하는 컴퓨터 네트워크의 취약성을 공격했다고 밝혔다. 이 보도가 나간 뒤, 피아트크라이슬러는 문제를 해결하기 위해 140만대의 자동차를 리콜해야 했다. 그러나 모든 차주가 리콜에 응답한 것은 아니기 때문에, 현재 도로 위에는 이러한 위협에 노출된 자동차들이 여전히 운 행중이다.
최근 우버의 첨단기술센터(Advanced Technology Center)에 채용된 발라세크와 밀러는 연이어 액셀을 작동시키거나 운전대를 통제하는 방법을 통해 지프를 180도 회전시키는 등 아무것도 할 수 없는 운전자와 동승자에게 치명적인 결과를 초래할 가능성도 밝혀냈다. 한편 2016년 8월, 미시간 대학교 과학팀은 그들이 트럭을 해킹해 대시보드 패널의 디스플레이를 변화시켜 텅 빈 연료 탱크가 가득 찬 것처럼 보이게 만들 수 있다고 밝혔다. 감속을 하려는 운전자의 의도와 달리 트럭을 가속시킬 수도, 트럭의 브레이크 시스템 중 하나를 비활성화시키는 것도 가능했다. 미시간 연구진 중 한 명인 빌 하스(Bill Hass)는 “트럭은 위험한 화학물질과 많은 양의 화물을 수송하며, 국가 경제의 근간을 담당하고 있다. 그런데 누군가가 트럭을 해킹해 의도치 않게 가속을 시킨다면 얼마나 나쁜 일들이 발생할 것인지를 생각하는 것이 어렵지 않을 것이라 본다.”고 밝혔다.
트럭을 해킹하는 일은 승용차를 공격하는 것보다 더 쉽다. 승용차는 다양한 회사들이 다양한 형태의 시스템을 사용하지만, 모든 트럭과 스쿨버스는 J1939라는 표준 시스템을 공유하기 때문이다. 따라서 범죄자나 테러 조직이 이 소프트웨어에 침투하는 방법을 배운다면, 수천 대의 트럭이 통제 불능 상태에 빠지는 재앙이 발생할 수 있다.
사물인터넷의 미래
첫째, 제조사와 소비자들이 ‘연결성(connectivity)에 대한 니즈’와 ‘보안에 대한 니즈 사이’에서 균형을 찾을 것이다.
둘째, 사물인터넷 기기에 대한 최고 수준의 보안을 제공하는 기업들은 앞으로 큰 수익을 얻을 것이다.
셋째, 비즈니스 사업자와 개인들은 그들 스스로 인터넷에 연결하는 모든 사물의 보안에 주의를 기울이지 않는다면 사물인터넷 기기에 대한 해킹으로 큰 고통을 받을 것이다.
넷째, 커넥티드 자동차 시장이 확대될수록, 자동차와 트럭 제조사들은 사물 인터넷 보안에 더 큰 주의를 기울일 것이다.
