스마트홈은 스마트TV, 가정용CCTV는 물론 냉장고, 인공지능 스피커 등이 네트워크로 연결돼 사용자에게 생활의 편리함과 최적의 환경을 제공한다.
하지만 온갖 사물이 연결됨에 따라 해커가 개입할 수 있는 경로도 더욱 다양해졌다. 아이러니 하게도 스마트홈이 발전할수록 사용자의 안전에 보다 직접적인 위협을 끼치는 상황이 벌어지고 있는 것이다.
사물인터넷(IoT) 기기 사용자는 2016년 약 620만명에서 2017년 6월 기준 750만명으로 급증했다. 산업연구원 분석에 따르면, 국내 IoT 보안사고 피해액은 2015년 13조4000억원에서 2020년 17조7000억원, 2030년에는 26조7000억원에 이를 것으로 예상된다.
 

■스마트홈 보안의 특수성

스마트홈은 곧 사물인터넷(IoT)과 일맥상통한다.
일반적인 IT시스템의 경우 소유자나 운영자가 기업에 속한 직원이고, 물리적으로 안전한 환경이나 선량한 관리자를 가정할 수 있는 등 보안 위험에 기본적인 억제력이 있는 환경이 조성된다.
하지만 다수의 모범 사례를 경험한 기존 IT 시스템과는 달리 IoT 환경은 보안 메커니즘에 대한 설계 단계에서부터의 고려가 부족해 잠재적인 취약점들이 산재해 있다.
때문에 IoT 환경의 보안에 대해서는 기획·설계 단계에서부터 정보보호를 고려한 정보보증(Information Assurance) 관점의 접근이 필요하며, 보다 높은 수준의 보안 대책이 필요할 것으로 보인다.
스마트홈의 보안 침해는 가장 대표적으로 기기를 통합제어·관리하는 월패드 해킹을 들 수 있다.
동일 세대(단지)의 네트워크를 통해 월패드로 전달되는 제어 명령을 재생해 다른 세대의 월패드를 제어한다거나, 월패드 실행 파일에 악성코드를 삽입해 월패드 기능이 악의적인 목적으로 동작하도록 할 수도 있다.

■정부 가이드

과학기술정보통신부(구 미래창조과학부)는 2014년 10월 'IoT 정보보호 로드맵'을 수립하고 스마트홈을 7대 분야에 포함시켜 공통 보안원칙을 제시했다.
로드맵을 토대로 관련 시행 계획도 마련했다. 시행계획 역시 스마트홈 분야가 주요 과제에 포함돼 있다. 스마트홈·가전 디바이스는 출시 전 보안취약점 점검을 의무적으로 실시하고, 출시 후에도 제조사는 지속적으로 보안패치를 적용 및 배포해야 한다.
IoT 제품·서비스 사업자의 책임성 확보방안도 마련했다. 보안취약점과 보호조치 사항을 홈페이지 등을 통해 제품 사용자에게 공개해야 하고 출시 후 발견된 신규 보안취약점에 대해서는 사후관리 등 지속적인 보안 강화방안을 제공해야 한다.
지난해 발표된'홈·가전 IoT 보안가이드'공통보안 요구사항을 소프트웨어 보안, 물리적 보안, 인증, 암호화, 데이터 보호, 플랫폼 보안 등 6가지 보안항목으로 분류했다.
정부가 앞장 서 보안의 경각심을 고취시키고 보안가이드를 발표하는 것은 긍정적으로 평가되지만 시장에서 보안가이드를 지킬 수 있는 환경과 기반이 갖춰졌는지는 의문이다. 보안가이드는 어디까지나 권고사항이기 때문에 이를 지키지 않는 제조사를 강제할 효력은 없다.
개발 단계부터 세부적인 보안 SW를 요구한 보안가이드에 대해 중소기업이 대부분인 관련 업계는 원가 상승 등을 이유로 난색을 표하는 입장이다.

■해킹 예방 지침

현재로선 개인 사용자가 보안에 대한 경각심을 갖고 적절히 대처하는 수밖에 없다. 개인 사용자가 지켜야 할 보안지침은 어떤 것이 있을까.
가장 기본적으로 IoT 기기에 사용하는 계정 정보와 비밀번호를 주기적으로 바꾸는 것이다.
비밀번호의 중요성은 아무리 강조해도 지나치지 않지만, 사실 가장 지켜지지 않는 부분이기도 하다. 항상 대문자, 소문자, 숫자, 특수문자 등을 섞어 최대한 복잡하게 만들고, 주기적으로 바꾸는 것을 잊지 말아야 한다.
홈 가전을 연결하는 무선인터넷은 보안이 적용된 네트워크를 사용해야 한다.
해커들은 공용 와이파이를 이용해 악성코드를 배포하거나 디바이스에 접근하는 경우가 많다. 암호 없이 아무나 접근 가능한 무선인터넷을 사용하는 것은 피하는 것이 좋다.
마지막으로 제조사가 제공하는 소프트웨어 업데이트를 적용하는 것이다.
제조사들은 소프트웨어 업데이트를 통해 취약점을 수정·보완한다. 대부분의 스마트홈 기기들은 자동 업데이트 되지 않기 때문에 한달에 한번은 직접 기기가 업데이트 돼 있는 상태인지 확인해야 한다.

■그 외 침해사례

-다리미와 전기 주전자 침해사례
중국산 다리미와 전기 포트에 해킹에 활용되는 스파이 마이크로칩이 탑재돼 있는 것이 러시아에서 발견됐다. 이처럼 가전제품에 포함된 스파이 마이크로칩은 보안되지 않은 무선 네트워크에 연결할 수 있다. 실제 확인된 수량만 30여개에 달하고 확인되지 않은 수량은 훨씬 더 많을 것으로 추측된다.

-취약점을 악용한 침해사례
미라이(Mirai)를 이용한 대규모 DDoS 공격으로 1200여개 미국 주요기관 사이트를 마비시키는 사건이 발생했다. 약 12만대의 IoT 기기가 공격에 악용됐다. 미라이 악성코드는 공장 출하 시 설정된 기본 ID/PW를 그대로 방치한 IoT 기기를 대상으로 기본 계정을 삽입해 관리자 권한을 획득 후 감염시키는 방식을 사용했다.

-유아 모니터 카메라 침해사례
영국 BBC의 보도내용에 따르면 미국 텍사스주의 한 가정의 유아 모니터링 카메라를 해킹해 카메라에서 음란한 소리가 나오도록 지시한 사례다. 이 사례는 제품의 펌웨어 및 소프트웨어에서 발견된 취약점을 악용한 사례이다.

-스마트 가전기기 침해사례
미국 보안업체 P사에 따르면 2013년 말부터 2014년 초까지 전 세계에서 75만건의 피싱, 스팸 등의 악성 이메일이 가정에 설치한 홈네트워킹 라우터, 스마트TV, 냉장고와 같은 스마트 가전제품들에 의해 발송됐다. 스마트TV 해킹을 통해 TV에 탑재된 카메라로 집안 내부를 생중계 할 수 있다. 홈쇼핑 주문번호를 임의로 변경해 사진, 동영상, 카드번호, 계좌번호 등의 정보를 수집 변경해 악용할 수 있다.

-CCTV를 통한 프라이버시 침해
최근 전 세계의 7만3000여개의 개인용CCTV가 해킹돼 생중계되는 사건이 발생했다. 우리나라도 약 6000여개의 CCTV가 해킹돼 미국에 이어 세계에서 두번째로 많은 피해자가 발행한 것으로 조사됐다. 악용할 경우 개인프라이버시가 심각하게 침해되거나 금전적 피해까지 발생할 수 있음을 시사한다.

김한기 기자 다른기사 보기