UPDATED. 2022-12-07 20:08 (수)
홈네트워크 설비 초기암호 그대로, 유지관리 절실
홈네트워크 설비 초기암호 그대로, 유지관리 절실
  • 박광하 기자
  • 승인 2021.12.26 19:58
  • 댓글 0
이 기사를 공유합니다

아파트 홈게이트웨이·월패드
비밀번호 변경 없이 사용돼
제어권 탈취 등 해킹에 취약

사이버보안 강화 달성 위해
정기적 유지관리 의무화 절실

[정보통신신문=박광하기자]

'9999', '1234', '0000'. 아파트 단지 각 세대에서 사용 중인 각종 홈네트워크 관련 설비의 비밀번호가 초기 설정값 그대로인 사례가 부지기수다. 기본적인 정보보호 조치마저 생략돼 해킹에 무방비하게 노출된 상황으로, 이런 설비들은 '해커들의 놀이터'로 이용된다는 게 정보통신기술자들의 지적이다. 기술자들은 신축 아파트 건축 시 홈네트워크 기기의 정보보호 조치를 필수적으로 이행하는 것은 물론, 기구축 공동주택 네트워크 장비에 대한 사이버보안 강화를 위해 정기적인 유지관리 의무화가 필요하다고 제안했다.

유·무선 네트워크 고도화와 사물인터넷(IoT) 기기 보급에 따라 가정에서 각종 장치를 네트워크에 연결, 원격으로 제어·모니터링할 수 있는 홈네트워크 솔루션 보급이 확산되고 있다. 그런데, 아파트 건축 당시 도입된 홈네트워크 솔루션들의 비밀번호가 초기 설정값 그대로인 경우가 상당수다.

실제로, 인천 지역 A 아파트 단지의 세대 내에 설치된 홈게이트웨이나 월패드 장비가 그렇다. 확인 결과, 제조사가 제공하는 장비 매뉴얼에 적혀 있는 초기 비밀번호를 입력하자 해당 장치의 관리자 모드로 진입할 수 있었다.

정보보호업체 소속 기술자는 통화에서 "장비 관리자 모드로 진입하기 위한 아이디와 비밀번호를 변경하지 않을 경우 해커가 해당 장비의 제어 권한을 손쉽게 탈취할 수 있다"며 "초기 비밀번호를 그대로 사용하는 장치는 그야말로 해커들의 놀이터가 된다"고 말했다.

그는 이어 "초기 비밀번호를 정기적으로 변경하기만 해도 수많은 사이버공격을 효과적으로 방어할 수 있을 것"이라고 의견을 제시했다.

해커가 장비 제어권을 탈취한 이후에는, 장비에 탑재된 카메라로 영상을 불법적으로 촬영하거나 송수신 데이터를 가로챌 수 있으며, 홈네트워크에 연결된 각종 장치를 제어해 입주자에게 피해를 입힐 수도 있다.

정보통신기술 전문가들은 이 같은 문제가 '정기적 유지관리'의 부재 때문이라고 짚었다.

ICT 설비에 대한 이해가 부족한 일반 시민이 각종 정보보호 조치를 하는 게 쉽지 않기 때문에, 정기 점검이 이뤄지지 않을 경우 보안 취약점이 언제까지고 남아있을 수밖에 없다는 것이다.

이들 전문가는 ICT 전문업체 및 기술자들에 의해 정기적으로 점검을 받으면 비밀번호 변경 등 정보보호 조치가 가능하다고 말한다.

남우기 한국정보통신기술사회 회장은 "아파트를 건축할 때 각종 네트워크 설비를 설치한 이후에는 관리가 이뤄지지 않는 사례가 수두룩하다"며 "보안 취약점이 발견됐을 때 펌웨어 업데이트 등이 필요한데, 점검이 이뤄지지 않다 보니 설비들이 수년 넘도록 방치되기 일쑤"라고 지적했다. 남우기 회장은 "결국 공동주택 ICT 설비의 보안 취약점 문제를 해결하기 위해서는 정기적인 점검이 필요하고, 이를 위해 법·제도적으로 정기 점검을 의무화하도록 해야 한다"고 말했다.

ICT폴리텍대학 정보보안학과장인 김영철 교수는 "아파트 단지 내 정보통신설비를 전기기술자가 유지관리하는 경우마저도 있다"며 "이런 경우 장비의 작동 확인 수준의 점검이 이뤄질 뿐이라서 사이버보안 면에서는 아무런 도움이 되지 못한다"고 말했다. 김영철 교수는 "최근 연이어 발행한 사이버 공격 사건이 재발하지 않도록 하기 위해서라도 정부와 국회가 책임감을 갖고 대책 마련에 나서야 한다"고 강조했다.

현재 운용되고 있는 자율 인증 제도를 이용한 정기점검 의견도 제시됐다.

한국정보통신진흥협회(KAIT)의 홈네트워크건물 AAA등급(홈IoT) 인증 심사 시 △모바일 앱, IoT 기기(사전점검) △네트워크, 서버, 정보보안장비 등 IoT서비스 인프라(현장점검) 등에 대한 정보보안 조치 여부를 한국인터넷진흥원(KISA)을 통해 점검하도록 절차가 마련돼 있다.

간단히 말해, 홈네트워크건물AAA 등급 인증을 받은 건축물의 경우에는 월패드, 홈게이트웨이, IoT도어락 등의 설비에 기본적인 정보보안 조치가 이뤄져 있어 안전하다는 의미다.

KAIT는 홈네트워크건물AAA 등급 인증을 5년마다 재인증 받을 수 있으므로, 이를 이용하면 홈네트워크에 대한 정기적인 점검이 가능할 것이라고 말했다.

하지만, 해당 인증 신청 건축물이 많지 않다는 게 문제다.

홈네트워크건물 인증 관계자는 "올해 홈네트워크건물 인증 보안점검 수행 실적이 20여건에 불과하다"고 말했다. KAIT 인증 통계(2021년 11월말 기준)에서도 초고속정보통신건물 인증 실적은 1만7317건(979만2432세대)에 달하는 반면, 홈네트워크건물AAA 인증 실적은 39건(2만6325세대)에 불과하다.

보안 취약점에 대한 패치가 나오지 않은 시점에서 이뤄지는 사이버 공격인 '제로데이 공격(Zero-Day Attack)'에 대응하기 위해서는 정기적인 유지관리뿐만 아니라 ICT 전문인력의 상주가 필요하다는 의견도 제시돼 공감대를 형성해 가고 있다.

일정 규모 이상의 건축물에 ICT 기술자를 상주시켜, 각종 보안 이슈 발생 시 펌웨어 업데이트 및 보안정책 강화 등 신속한 대응을 해야 한다는 것이다.

이 밖에도, 하드웨어 기반의 정보보호 장치를 도입하는 데 부담을 느끼는 중소규모 공동주택을 겨냥한 클라우드형 정보보호 솔루션도 국내외에서 출시, 보급되고 있다. 구독형으로 제공되는 이들 솔루션을 활용하면 공동주택 정보보호 강화에 도움이 된다.

예를 들어, 모니터랩(대표 이광후)에서 개발한 SECaaS 플랫폼 '아이온클라우드(AIONCLOUD)'는 웹사이트 보호를 통해 웹 기반 시스템에 대한 보안 서비스를 제공하고, 시큐어 인터넷 액세스 서비스를 통해 내부 사용자의 안전한 외부 인터넷 사용을 클라우드 형태로 지원한다.

그동안 중소규모 학교·병원·공동주택 등에서는 하드웨어 장치 기반의 정보보호 솔루션을 도입·운용하는 게 쉽지 않았다. 장비 도입비용이 높을 뿐만 아니라, 유지관리 전담인력이 없어 보안 취약점 발생 등 사이버보안 이슈에 즉각 대응한다는 게 쉽지 않았던 것이다.

반면, SECaaS 보안 솔루션을 사용하게 되면 구독 방식의 결제가 이뤄져 도입·운용 비용을 절감할 수 있을 뿐만 아니라, 정보보호 이슈 발생 시 모니터랩이 신속하게 해결 방안을 마련해주기 때문에 발빠른 대응이 가능하다.

건축물 내 ICT 설비가 국민의 생명과 안전에 필수적인 요소로 자리 잡아가고 있는 지금, 이들 설비의 유지관리 강화가 이뤄져야 한다는 국민적 요구 증대로 법·제도 개선 필요성이 더욱 커지고 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-12-07
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트