제조사 해이, 공기관 지식 부족, 해커들 취약점 찾기 능력 3중고

정치의 영향으로 발전은 하고 있지만 아직 개념 잡히지 않아

[보안뉴스 문가용] 네스트(Nest) 스마트 미터나 핏비트(Fitbit)와 같은 사물인터넷 기기들이 정보보안에 있어서는 그다지 뛰어나지 않다는 건 이미 널리 알려진 사실이다. 그렇다면 이런 스마트 기기들 투성일 ‘스마트 도시’는 어떨까? 이런 사물인터넷 장치들이 수도를 관리하고, 전력을 배분하며, 쓰레기를 수거하고, 교통을 제어한다면? 우린 불안전함 그 자체 안에서 살게 되는 걸까?

“세계 어디를 가도 사이버 공격에 대비를 갖춘 도시는 얼마 없습니다.” 아이오액티브(IOActive)의 CTO인 케사르 세루도(Cesar Cerrudo)의 설명이다. 작년, 교통통제 시스템 해킹에 대한 연구로 ‘치명적인 인프라에서의 보안 문제’를 이슈화 한 세루도는 올해 한 발 더 나아가 시큐어링 스마트 시티즈(Security Smart Cities)라는 글로벌 비영리 단체를 창설하기에 이르렀다. 여기에 아이오액티브, 카스퍼스키, 바스틸(Bastille), 클라우드 시큐리티 얼라이언스(Cloud Security Alliance)가 참여했다. 다가오는 스마트 시티의 보안성을 같이 높여보자는 게 그 목적이었다.

“도시는 매우 중요한 개념입니다. 현대 문명의 척추가 바로 도시이기 때문이죠. 현대의 경제 구조 역시 도시를 중심으로 돌아가고요.” 아미 사이버 인스티튜트(Army Cyber Institute)의 부교수인 그렉 콘티(Greg Conti)와 데이비드 레이몬드(David Raymond), 드로우브리지 네트웍스(Drawbridge Networks)의 CTO인 톰 크로스(Tom Cross)의 설명이 스마트 시티에 보안 업계의 관심이 쏠리는 이유다. “전 세계 도시들의 정보보안 상태를 쭉 살펴볼 예정입니다. 특히 앞에 ‘스마트’라는 수식어가 붙은 도시들을 위주로요.”

현재 스마트 도시들의 당면과제는 무엇일까?

불안정한 제품, 부족한 실험

스마트 빌딩과 스마트 도시의 가장 큰 문제점은 센서의 해킹이 너무나 쉽다는 것이다. 그리고 여기에 가짜 정보를 주입하는 수법에 활짝 열려있다. 가짜 정보가 센서로부터 들어오면 기차 신호를 바꾼다든가 물 공급원에 오염물질을 풀어놓는 등 별별 일들을 다 만들어내고 조작하는 게 가능해진다.

“현재 하드웨어와 소프트웨어를 한 데 섞어서 제품을 개발하기만도 급급한 제조업자들이 보안까지 고려할 것이라고 기대하는 건 무리입니다. 그래서 실험도 제대로 안 거친 제품들이 시장에 쏟아져 나오는 게 현실이죠. 물론 성능 실험은 하겠죠. 보안성 실험은, 글쎄요.”

톰 크로스는 사람들이 보안 취약점을 대하는 태도가 5단계에 걸쳐 진행된다고 설명한다. “첫 번째 단계는 부정입니다. 신기한 기기의 신박한 기능에 정신이 팔려 보안은 거의 생각도 하지 않는 상태죠. 그 다음으로 분노, 협상, 우울, 체념의 단계들이 이어집니다. 스마트 도시의 사용자들 역시 비슷한 현상을 겪고요.” 다만 아직 체념의 단계가 이르지는 않은 것으로 보여 희망이 있다고 그는 설명한다.

세루도는 지난 4월 관련 주제로 엮어낸 보고서를 통해 “여전히 보안에 관심이나 지식이 전혀 없는 제조업자들이 많다”고 시장 상황을 밝힌바 있다. 제대로 된 보안 전문가를 찾기도 힘들고, 아예 관심도 없어 보이는 게 솔직한 의견이라고까지 했다. 예를 들어 사물인터넷 기기들 중 로컬 네트워크에 있는 사용자라면 누구나 기기를 완전히 제어 가능하도록 설계되어 있는 것들이 대단히 많은, 정보보안에서는 상상할 수도 없는 일들이 버젓이 일어나고 있는 것. “내부 네트워크라면 그저 안전하다고 믿고 있기 때문입니다.”

그런데 공격의 루트는 무수해

이렇게 스마트 도시를 주로 구성하는 사물인터넷 기기들이 사실상 태생부터 보안성이 약하다는 치명적인 단점을 가지고 있는데, 거기에 도시가 가지고 있는 특유의 방대함과 복잡함이 맞물려 문자 그대로 무한대의 공격 루트(route)가 도시 내 존재하게 되었다.

미래학자인 시몬 무어스(Simon Moores) 박사는 세계적인 정보보안 관련 대회인 IFSEC에서 지난 달 스마트 전기 미터, 스마트 도어, HVAC 시스템, 조명 등을 한 건물에 집어넣다 보면 “인간의 능력으로는 다 간파할 수 없는 숫자의 문제점들이 생길 것”이라고 예측했다. 그리고 이는 보안업계 누구나가 동의하는 바다.

톰 크로스는 각종 스마트 기능을 전부 한 건물에 집어넣고 융화시키는 게 “기술적인 문제만은 아니”라고 설명한다. “더 중요한 건, 아니, 더 어려운 건 건물과 도시 안에서 일어나는 모든 상호작용 및 관계들과 그로 인해 발생하는 여러 가지 결과들을 상상해서 예측해야 한다는 거죠. 예를 들면 지하철 운행이 중단되면 사람들이 제 때 출근을 하지 못하고, 그로 인해 완성되지 못하는 여러 가지 일들이 있는데, 그걸 일일이 다 알아낼 수가 있을까요? 인간 능력 밖의 영역에 있는 일입니다.”

세루도는 스마트 도시의 이런 약점을 공격자들 역시 알고 있다는 게 큰 문제라는 말을 덧붙인다. “알고 있을뿐만 아니라 활용법도 아주 잘 알고 있지요. 우리는 상상도 못할 약점을 찾아서, 무수하게 깔린 우회로를 타고 치명적인 시스템으로까지 침투할 겁니다. 그러면서 사고들이 연속으로 발생하겠죠.”

‘치명적이다’라는 단어의 뜻이 사람마다, 도시마다 달라진다는 것 역시 문제다. 크로스는 “라스베이거스의 경우를 보자면 카지노 시설이 정말 ‘치명적’으로 중요한 경제 기반이죠. 하지만 그 외 도시들을 가보면 카지노가 ‘치명적’인 시스템으로 분류되는 경우가 거의 없어요. 도시들마다 그런 차이가 있다는 거죠.”

이를 좀 더 확장해보면, 도시마다 그 규모와 특성과 역사가 다 다르다는 것도 보안에 문제가 된다고도 볼 수 있다. 그런 상황에 따라 지켜야할 것이 달라지기 때문이다. “하지만 그럼에도 겹치는 부분이 있을 거라고 봅니다. 아니, 적어도 대도시와 소도시 사이의 ‘평균 도시’를 찾아내기만 해도 충분하죠. 거기서부터 실제적인 스마트 도시 보안을 생각해볼 수 있을 거라고 저희는 희망하고 있습니다.”

넓은 시야, 아직 아무도 확보 못해

‘치명적인’ 문제는 이게 다가 아니다. 무어스가 핵심을 찌른다. “스마트 도시에서 사고가 일어난다면, 누구의 책임일까요?” 스마트 도시라는 개념이 아직 정확히 정립되지 않은 상황이고, 그렇기 때문에 책임지고 진두지휘할 누군가가 아직도 정해지지 않고 있다는 것. 리더십의 부재, 이 점 역시 많은 전문가들이 동의하는 부분이다. 이는 스마트 도시의 구축과 운영이라는 걸 인류가 경험해본 적이 없어서다. 너무나 생소한 분야이기 때문.

“현재 스마트 도시를 만든다는 건 빈 공간에다가 아무도 본 적 없는 인프라를 처음부터 창조하는 것과 다름없는 느낌입니다. 그러니 한 발자국 한 발자국이 두렵고 조심스러운 것이죠.” 크로스의 설명에 세루도는 “민간 기업들이 하는 방식의 보안을 차용하는 것이 현재로서는 베스트인 것으로 보인다”고 보충했다.

정치와 경제 사정에 매우 민감

“현대에서 도시란 건 거대한 정치 산물입니다. 그렇기 때문에 ‘성장’이 도시가 쫓아야할 미덕이며 궁극적인 목표가 됩니다. 이 때문에 발전 속도를 보안을 포함한 사회의 여러 다른 분야가 쫓지 못하는 현상이 일어나죠. 정치 산물이기 때문에 가시성 확보도 중요해지는데, 이 가시성도 보안에 있어서 장단점을 모두 가지고 있습니다. 예를 들어 한 눈에 사고를 파악하는 데는 좋지만 개인의 프라이버시 침해가 올 수 있기 때문이죠.”

게다가 보안과 관련된 예산을 확보하는 것 역시 만만치 않은 일이다. “아직도 여러 조직에서 보안 예산을 확보하려면 먼저 임원들을 ‘교육’하는 일을 꼭 함께해야 합니다. 이건 공공기관이나 사기업이나 마찬가지고요. 다만 공공기관의 경우 선거철이냐 아니냐에 따라 교육효과가 증폭되거나 급감되기도 합니다. 그게 참 까다롭습니다. 결국 보안이란 아직까지도 항상 재교육하고 재판매해야 하는 걸로 남아있죠.”

또한 스마트 도시란 건 그 특성과 사회구조상 한 개인이 소유하기가 참 힘든 것이다. 공공의 것이 되기 마련이고, 그렇기 때문에 공공부문에서 다뤄야 할 것인데 아직까지 공공부문의 보안의식은 민간부문의 그것보다 훨씬 밑돈다. “유능한 인재들은 대부분 민간부문으로 빠지죠. 그쪽이 월급도 높고 일하기도 더 편한 환경이니까요.” 즉, 보안 분야 전체에 만연한 인재 부족 현상이 스마트 도시에는 더 심하거나 더 장기화될 조짐이 보인다는 것.

“스마트 도시 문제는 생각보다 심각한 문제입니다. 지금 이 순간도 끊임없이, 아주 빠른 속도로 구축되고 있는데, 아무도 스마트 도시의 정확한 정체를 파악하지 못하고 있거든요. 이건 당면과제이며 이미 우리가 마주하고 있는 난제 중 난제입니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>