운전하는 건 안전할까? 가정 자동화 괜찮을까? 댐이 폭파되는 건 아닐까?
과장된 부분 다소 있으나 이론상 가능해...미래에는 실현될 공격들

[보안뉴스 문가용 기자] 정치적인 목적을 가진 가짜뉴스가 판을 치고 있다는 건 누구나 아는 사실이다. 그러나 가짜뉴스가 심각한 문제로 불거지기 전에도 이미 인터넷에서는 신뢰하기 힘든 정보로 가득했다. 스스로 전문가라고 하는 이들의 정보를 함부로 믿지 말라는 건 인터넷 검색의 오랜 지혜이기도 하다. 보안 업계라고 해서 이로부터 자유로울 수 없다.


정보보안 분야도 잘못된 정보와 FUD로 가득해있다. FUD란 공포(fear), 불확실성(uncertainty), 의심(doubt)의 준말로 ‘보안을 제대로 하지 않으면 나쁜 일이 일어날 것’이라는 협박성 메시지로 가득하다는 것이다. 지금 당신의 가족이 타고 있는 자동차는 안전한가? 지금 당신 심장에 꽂혀 있는 인슐린 펌프를 완전히 믿을 수 있는가? 당신의 그 핸드폰에는 제3자의 감시 체제가 전혀 발동하지 않고 있는가? 세상은 온통 위험한 것들뿐이다. 어디서부터 어디까지가 진실이고 유효한 ‘공포’인 것일까?

1. 내 자동차는 안전한가?
악성 공격자들은 스마트카를 멀리서부터 장악해 마음대로 운전할 수 있다고 한다. 영화에도 자주 등장하는 소재다. 인터넷과 연결된 커넥티드 카가 나오고 자율주행 자동차가 연구되고 있는 시점에 이는 충분히 공포스러운 시나리오다. 또한 위키리스크를 통해 유출된 CIA 문건을 통해서도 자동차 해킹 방법과 관련된 내용이 나오기도 했다. 운전한다는 것 자체가 매우 위험한 발상처럼 보일 정도다.

하지만 자동차 해킹이 실제 생활에서 우려스럽게 느껴지기 시작했다면, 그럴 필요 없다. 원격 자동차 해킹은 현재까지 자동차 내 엔터테인먼트 시스템이나 OBD(onboard diagnostic) 시스템을 겨냥해 일어나는데, 여기에는 심각한 한계가 존재한다. 먼저 OBD를 원격 해킹하려면 먼저 해당 포트에 물리적인 접근을 해야 한다. 원격이라고 해봐야 그리 먼 거리가 허용되지 않는다는 것이다. 블루투스가 통하는 거리 내에서 겨우 될까 말까인데, 이는 많은 자동차 제조사들이 이미 패치를 진행하고 있어 불가능에 훨씬 가깝다.

2015년, 보안 전문가인 찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)은 지프 체로키의 엔터테인먼트 시스템을 원격 해킹하는 데에 성공한 바 있다. 이게 가능했던 건 엔터테인먼트 시스템 내에 취약점이 존재했기 때문이다. 하지만 제조업자들은 그때로부터 이 취약점들을 패치하기 시작했고, 엔터테인먼트 시스템을 주요 시스템으로부터 분리시키는 노력을 기울이고 있다. 즉 당분간 당신의 차를 누군가 멀리서 조종하는 일은 없을 것이라고 봐도 무방하다.

2. 가정 자동화, 우리 식구들은 안전한가?
혹시 ‘미스터 로봇(Mr. Robot)’이라는 미국 드라마를 본 적이 있는가? 한 에피소드에서 가정 자동화 해킹에 대한 내용이 등장한다. 공격자가 가정집의 모든 오디오, 샤워, 온도 조절기 등의 시스템을 장악하는 것이다. 하지만 안심하라. 이런 일이 일어날 가능성은 아직까지 매우 희박하다. 그러나 이러한 시나리오에 등장하는 개별 기기 하나하나에 대한 해킹 기술은 실재한다. 그러므로 여기에는 픽션과 팩트가 적절히 섞여 있다고 볼 수 있다.

예를 들어 스마트 카메라나 DVR 시스템을 겨냥한 해킹 시도는 곧잘 발생한다. 이런 기기들로 구성된 봇넷을 통해 대량의 디도스 공격을 시도한 사례도 이미 여러 차례 등장한 상태다. 비슷한 시도가 카메라류 제품을 넘어 다른 사물인터넷 기기들에게도 있을 것으로 보인다. 공격자들에 의해 점거된 사물인터넷 기기들은 2차, 3차 공격에 대동될 가능성이 높다. 하지만 기기를 구매한 소비자들이 불필요한 포트들을 닫거나 암호를 바꾸는 등의 조치를 취하면 방어가 가능하다.

가정 자동화 시스템을 통째로 해킹하는 건 해커들에게 상당히 비효율적인 일이다. 쉽지도 않거니와 갖은 애를 써서 해킹에 성공해봐야 사물인터넷 카메라로 만든 봇넷이 아주 약간 커지는 정도만이 그 결실이 될 뿐이다. 즉, 시스템 전체가 해킹되는 건 가능성이 매우 낮지만 사물인터넷 기기 하나하나가 해킹되는 건 충분히 가능성 있는 일이라고 정리할 수 있다.

3. 내가 착용하고 있는 의료기기, 내 목숨을 위협하나?
의료분야는 사물인터넷 기기 혹은 그에 준하는 기기를 꽤나 일찍부터 사용해왔다. 당연히 이러한 기계들에 대한 보안 점검이 들어갔고, 형편없는 보안 기능을 가진 의료 기기들은 여러 차례 헤드라인에 올라갔다. 심장박동기를 누군가 조작할 수 있다느니, 인슐린 펌프를 마음대로 조절해 투입량을 바꿀 수 있다느니 하는 소식들은 건강하려고 착용한 기계 때문에 오히려 목숨이 끊길 것과 같은 공포감을 조성했다. 아쉽지만, 이러한 위협들은 매우 실제적이다.

네트워크에 연결된 의료 기기들은 대부분 윈도우나 리눅스를 기반으로 하고 있다. 이 두 체제의 공통점은 패치나 업데이트가 꽤나 자주 된다는 것이고, 의료 산업은 대체적으로 보안에 대해 매우 무감각하다. 수술 등을 통해 몸 속에 설치한 기기들이라면 패치 자체가 불가능할 수도 있다. 그러므로 공격하기에 가장 알맞은 것 중 하나가 바로 의료 기기들이다. 20년된 사업을 한 순간에 접어야 한다는 랜섬웨어 피해자의 말에도 눈 하나 깜짝 않는 게 사이버 범죄자들이다. 남의 생명에 동정심을 가질 범죄자들은 흔치 않다.

최근 오래된 윈도우 시스템을 패치하지 않았을 때 무슨 일이 일어날 수 있는지 전 세계가 경험한 바 있다. 바로 워너크라이(WannaCry) 랜섬웨어 사태다. 특히 마이크로소프트의 공식 지원이 끝난 윈도우 7 시스템들이 크게 당했다. 게다가 영국 의료공단이 워너크라이에 제일 처음 당한 곳 중 하나라는 사실도 의료 업계가 해킹 공격에 상당히 취약하다는 걸 시사하기도 한다.

4. 우리 사회는 안전한가? 금방 무너져 내리는 거 아닐까?
우크라이나 같은 곳에서 대규모 정전사태가 일어났을 때, 사이버 공격이 언급되었다. 뉴욕 댐의 통제 시스템도 공격자에게 당한 적이 있다. 교통 신호 체계도 얼마든지 공격에 당할 수 있다고 한다. 사회의 주요 기반 시설들이 악의적인 의도를 가진 자들에게 넘어갔을 때 그야말로 대대적인 공포의 시대가 열릴 수도 있을 것만 같다. 하지만 전 국가적인 규모의 공격을 실행하는 건 꽤나 어려운 일이다.

실제로 국가 전체나 사회 전체가 마비된 사례는 아직 없다. 문제는 스마트 도시나 스마트 국가 등 점점 더 사이버 공격에 취약해지는 체제로 우리는 나아가고 있다는 것이다. 그렇다는 건 지금은 어려운 전 국가 단위 공격이 갈수록 쉬워진다는 뜻이 된다. 그래서 보안의 역할이 중요한 건데, 아직은 이 부분에 대해 대비할 수 있는 기간은 충분히 있는 것 같다.

각종 영화에 등장하는 해킹 기술은 대부분 가능하다. 다만 영화의 표현 상 과장된 부분도 다소 존재하는 것이 사실이다. 그 말은 염려를 공포로 전환시키는 것보다, 착실한 대비책 마련에 공을 들여야 한다는 것이다. 영화는 ‘가능성’을 제기했고, 그것을 실현시키는 건 해커가 아니라 우리여야 한다.

글 : 마크 랄리버트(Marc Laliberte)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>