사물인터넷 기기만을 대상으로 한 보안 대회 3년 동안 진행
인식은 좋아지고 있으나, 실제적인 변화는 일어나지 않고 있어

[보안뉴스 문가용 기자] 모든 신기술이 등장할 때마다 그렇지만, 사물인터넷 역시 심각한 보안 위협거리다. PC 초기 시대에도 그랬듯, 사물인터넷의 보안 위협도 두 가지로 정리가 가능한데, 하나는 취약점의 어마어마한 절대량이고 다른 하나는 그 무시무시한 결과다. 양도 많고 충격도 작지 않다는 것.


긱폰랩(GeekPwn Lab)의 후이밍 리우(Huiming Liu)와 유하오 송(Yuhao Song)은 “사물인터넷이란 분야가 아직 성숙하지 않기 때문에 보안 취약점이 많을 수밖에 없다”며 “어떤 분야든 결국 보안의 발전은 분야 자체의 발전에 종속될 수밖에 없다”고 말한다.

또한 분야 자체가 초창기에 있기 때문에 사물인터넷 제조사들 역시 사용자 경험과 기능성에 더 치중할 수밖에 없다. 보안은 뒷전인 게 자연스러운 시기인 것이다. “그렇다고 보안에 대한 인식 부족이 ‘괜찮다’고 볼 수는 없습니다. 고칠 건 고쳐야죠. 실제로 사고가 일어나고 있는 시점이니까 말이죠.”

‘고칠 건 고쳐야 한다’는 게 바로 사물인터넷 및 스마트 기기에 특화된 보안 경쟁대회인 긱폰 콘테스트(GeekPwn Contest)의 주된 생각이자 목적이다. 2014년 긱폰을 처음 설립한 리우와 송은 화이트햇의 활동 영역을 넓히는 것에 깊은 관심을 가지고 있었다고 한다. 그러니 생산과 관련된 보안에도 이들의 관심이 다다른 것은 자연스러운 일. “버그바운티 프로그램도 많고 보안 경쟁 프로그램도 많지만 사실 사물인터넷만을 위한 것은 없더라고요.”

긱폰 콘테스트가 시작된 이후 가정용 기기나 웨어러블, 라우터, 카메라, 네트워크 프로토콜, 스마트 엔터테인먼트 제품군 등에서 약 100개의 취약점과 익스플로잇 기술이 발견되었다. 하나도 예외 없이 제조사로 보고되었고, 패치 배포가 요구된 상태다. “하지만 회사 규모가 작을수록 패치에 손댈 여유가 없어 보였습니다.”

리우는 취약점에 대응할 수 있는 체제 자체를 갖추지 못한 곳도 꽤나 된다며 “이런 회사들은 보통 취약점 보고서를 무시하거나 거부한다”고 밝혔다. “이걸 무슨 협박 같은 것으로 받아들이고 법정싸움을 거는 경우도 심심치 않게 있었습니다.”

다행히 패치에 대한 책임을 제조사들도 점점 받아들이는 분위기가 형성되고 있다. 다만 지금은 어떤 식으로 취약점을 공개하거나 알리는 게 가장 ‘올바른’ 것인가에 대한 논의가 진행되고 있어서, 조심스러운 건 여전하다고 한다. “그래도 화이트햇에 대한 인식 자체가 좋아지고 있어 다행이라면 다행이죠.”

사물인터넷 분야의 현 상태에 대해 두 사람은 “재앙적인 수준”이라고 입을 모은다. “사업체들은 보안에 관심이 없어요. 그냥 그런 문제가 있다는 걸 어디선가 풍문으로 들어본 수준에 머무르고 있죠. 그러니 화이트햇에 대한 인식이 좋아지고, 취약점 보고서를 조금 더 넉넉하게 받아들인다고 해도 달라지는 게 없습니다. 인식이라는 게 변화로 전환되려면 뭔가 다른 게 필요해 보입니다. 그것이 무엇일까를 찾는 게 앞으로 보안 업계의 주요 과제가 아닐까 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>