사물인터넷 환경에 따른 개인정보보호 관련 논의 활발

[보안뉴스 박미영 기자] 지능정보화 기술의 발전에 따라 빅데이터, 사물인터넷/자율주행차, 핀테크, 스마트 의료/헬스케어, 인공지능, 생체인식 기반 인증/보안, 드론을 비롯한 다양한 분야에서 개인정보보호 이슈가 제기되고 있다. 이에 본지는 7회에 걸쳐 ‘2017 개인정보보호 연차보고서’에 소개된 각 분야별 개인정보보호 이슈를 짚어보는 시간을 마련했다. 두 번째로는 사물인터넷과 자율주행차 시대가 다가오면서 제기될 수 있는 개인정보 침해 이슈를 짚어본다.


사물인터넷은 일정량의 컴퓨팅 파워를 가지고 사람의 간섭을 최소한으로 받으면서 사물 간 상호작용을 통해 스마트한 서비스를 제공하게 된다. 이 사물인터넷은 대개 와이파이, 블루투스와 같은 무선통신을 이용하는 것이 일반적이며 전력 소모량을 줄이기 위한 통신 및 컴퓨팅 기술들이 적용돼 있다. 이러한 ‘사물’의 범위에는 작게는 스마트워치와 같은 작은 웨어러블 기기부터 자율주행차와 같은 대형 기기까지 포함된다.

사물인터넷 기기들은 일상생활의 편리함을 제공해 줌과 동시에 보안상의 위협 요소로 작용하기도 한다. 경량화된 통신과 컴퓨팅 파워 소모를 위해 기기 간 단순한 인증이 구현돼 일단 하나의 사물인터넷 기기에 취약점이 발생할 경우에는 연계된 다른 기종의 사물인터넷 기기에도 보안상 영향을 끼칠 수 있게 된다.

특히, 사물들이 상시 인터넷에 연결돼 있고 데이터를 전송하는 통신 모듈을 내장하고 있기 때문에 보안관리가 되지 못할 경우 과거 좀비 PC들이 디도스(DDoS) 공격에 동원된 것처럼 악용될 수 있다.

더불어 도로·항만 및 제어시스템 현장에 설치형으로 이뤄지는 사물들의 경우 한번 설치되면 펌웨어 업데이트 및 보안패치 설치들이 용이하지 않기 때문에 취약한 사물들로 인한 피해가 대규모로 발생할 수 있다.

스마트카는 차량에 사물인터넷 기반의 텔레매틱스(Telematics) 서비스들이 구현됨에 따라 가까운 미래에 스마트카 내에서 뉴스·게임·주식·금융 거래 등을 할 수 있으며, 운전은 자동차에 맡겨두고 탑승자는 본인의 이동경로에 맞춰 인터넷에 접속해 호텔·식당 예약 및 인터넷 쇼핑·영화 시청 등을 즐길 수 있게 된다. 즉, 스마트카는 미시적으로 그 자체가 사물인터넷 기기임과 동시에, 거시적으로 거대한 차량 기반 네트워크 서비스를 이루고 있다.

과거에는 차량 네트워크가 일종의 폐쇄망이었기 때문에 보안 취약점이 있는 상태로 출고됐어도 외부로부터의 공격에 안전한 편이었다. 그러나 스마트카는 외부와 상시 연결돼 있기 때문에 차량 내 에어백 시스템, 자동변속 시스템, 크루즈 컨트롤 시스템, 인포테인먼트 시스템이 공격당할 경우, 단순히 차량 한 대에 피해를 유발하는 것이 아니라 물리적으로 사람 및 다른 자동차에 재산·인명 피해를 가져올 수 있다.

2016년 현재 아직 자율주행차를 이용한 서비스가 본격적으로 활성화되지는 않아서 자율주행차에 대한 직접적인 공격은 거의 없다고 할 수 있으나, 완전자율주행차 서비스 전 단계인 스마트카에 대한 공격은 매년 증가하고 있다.

2016년에는 과거 주로 소개됐던 물리적인 접근을 전제로 한 공격에서 벗어나 차량의 블루투스와 와이파이 모듈을 주로 공격해 원격 공격 및 제어를 하는 방식으로 비약적으로 진화하고 있다.

2015년까지만 해도 차량용 스마트 인포테인먼트 시스템이 설치된 차량 숫자가 적었으나, 2016년에 국내 신규 출시된 일부 차량들 중 옵션으로 Apple의 iOS 기반 CarPlay들이 포함되어 있는 등 인포테인먼트 시스템이 빠르게 보급되고 있다.

만약 이러한 유형의 시스템이 해킹을 당할 경우 GPS 정보 및 내비게이션 정보가 탈취돼 지속적인 위치 추적을 당할 수 있고, 통화 내역·문자 메시지가 탈취될 수 있는 등 심각한 프라이버시 침해가 발생할 수 있다.

더 나아가 자율주행차와 관련해 가까운 미래에 심각하게 발생할 공격의 하나로, 영상 인식 모듈에 대한 공격을 들 수 있다. 현재에도 이미 고급 차량에 포함된 운전 지원 시스템의 경우, 많은 부분에서 카메라·영상 인식 기술을 사용하고 있다.

이에 따라 가까운 미래의 자율주행차에서 발생할 수 있는 보안 및 개인정보보호 이슈를 다루기 위해 미국에서는 발 빠르게 법률 및 규정들이 제정돼가고 있다.

2015년의 크라이슬러 차량 해킹 시연 직후, 2015년 7월 21일에 에드워드 상원의원에 의해 ‘자동차 보안 및 프라이버시보호법’이 발의됐다. 이 법안은 2017년까지도 꾸준히 업데이트되고 있다. 이 법률안에서는 다음과 같은 사항들을 담고 있다.

첫째는 사이버 안전기준으로, 국가도로교통안전국(이하 NHTSA)은 차량 제어시스템 관련 해킹 방지·데이터 보안·해킹 대응과 관련된 표준 등을 개발해야 한다.

둘째는 프라이버시 보호기준으로, NHTSA는 차량에서 수집되는 데이터들 관련 프라이버시 표준을 투명성(Transparency)과 소비자 선택(Consumer Control), 마케팅 금지(Marketing Prohibition) 원칙에 의거해 마련해야 한다.

셋째로는 NHTSA는 사이버 사용자 인터페이스(Cyber Dashboard)를 마련해 차량 소유자의 보안과 프라이버시가 얼마나 잘 보호되고 있는지 평가할 수 있도록 해야 하며, 투명하고 소비자 친화적으로 정보를 제공하도록 해야 한다.

한편, 프랑스 개인정보보호위원회(이하 CNIL)는 커넥티드 차량의 혁신적 생태계를 조성하고 차량 이용자의 개인정보를 보호하기 위해 ‘커넥티드 차량 컴플라이언스 패키지’ 지침 작업을 진행 중이다.

CNIL은 제품 디자인 단계에서부터 개인정보를 보호하고, 이용자의 개인정보 자기결정권과 투명성을 확립할 수 있도록 기업들의 프라이버시 중심 설계 도입을 독려할 방침이다. 지침에서는 △ 운행 경로 관련 데이터 △ 차량 점검 일자 △ 운행 거리 △ 운전 스타일 등 신원을 확인할 수 있는 정보를 개인정보에 포함하며, 이를 ‘정보처리 축적 및 자유에 관한 법률’과 GDPR에 의해 보호하도록 하고 있다. CNIL은 커넥티드 차량 컴플라이언스 패키지 작업을 2017년 3월까지 완료할 계획이라고 밝혔다.

스마트카를 포함한 대부분의 사물인터넷 시스템들이 개인정보를 다루고 있으며 한번 보안사고가 발생하면 재산 및 인명에 막대한 피해를 유발할 수 있어 우리나라에서도 사물인터넷 환경에 따른 개인정보보호 관련 논의가 활발하다. 급변하는 사물인터넷 환경에 부응할 법적·제도적 대응전략 마련을 위해 향후 더 많은 논의가 진행돼야 할 것으로 보인다. 자유로운 데이터 흐름 및 데이터 활용, 상호통용성 등 이슈들이 부각되는 사물인터넷 환경이 전 세계 개인정보보호 법규 환경에 어떤 영향을 가져올지 귀추가 주목된다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>