사물인터넷(IoT) 보안보다 큰 문제는 프라이버시 문제
개인보다 기업의 위험 훨씬 커... 가능한 모든 조치해야

[보안뉴스 오다인 기자] 사물인터넷(IoT)에 대한 소문은 많지만 사물인터넷이 정확히 무엇이라고 말할 수 있는 사람들은 잘 없는 것 같다. 2016년 가을, 인터넷 서비스 사업자(ISP)를 겨냥한 대규모 공격이 있었다. 당시 공격으로 사물인터넷 기기 다수가 봇넷이 된 데다 여러 곳에서 인터넷이 이용 불가 상태가 되었다. 이는 사람들로 하여금 사물인터넷의 보안에 대해 의문을 갖게 한 중대한 순간이 되었다.


물론 보안상의 위험은 반드시 고려돼야 할 문제고, 현재 뉴스 헤드라인을 뒤덮고도 있다. 그러나 사물인터넷과 관련해 보안보다 더 큰 위험이 있으니, 그건 바로 사생활 보호(privacy)에 대한 문제다.

우리가 집과 회사에서 사용하는 거의 모든 기기에 와이파이로 연결되는 칩이 삽입되고 있다. 제조업체들은 점점 더 쉽고 저렴하게 이런 일을 진행하고 있고, 앞으로 사물인터넷을 회피하는 일은 점점 더 어려워질 것이다. 이때, 저렴한 비용이 인센티브와 결합되기도 한다. 그 인센티브란 이용자 행동에 대한 정보 수집이다.

여기서부터 뭔가 소름끼치기 시작한다. 한 번 상상해보자. 당신 집에 있는 오븐이나 냉장고, 또는 전자레인지에 정보를 수집하는 칩이 내장돼 있다고. 제조업체 측에선 그런 기기들이 인터넷으로 연결될 경우, 당신에게 혜택으로 돌아온다는 이유를 내세운다. 가전기기를 인터넷에 연결시키는 인센티브가 당신에게 돌아온다고 주장하는 것이다. 제조업체 입장에선, 당신의 이용 정보를 수집하는 데 아무런 비용도 들지 않는다. 당신이 하루 중 언제 그 기기를 이용했는지부터 얼마나 오랫동안 이용했는지 등등의 정보가 당신의 자발적인 의지로 제조업체에 제공되는 것이다. 여기에다 당신이 정보제공동의서를 작성할 때 함께 제공한 정보도 결합해서 생각해보자. 당신이 사는 지역과 당신의 가계소득에 대한 정보를 그들은 이미 갖고 있다. 사람들은 뭔가 안 좋은 일이 벌어질 때까지 이런 사실을 눈치 채지 못할 것이다. 그리고 나는 그 안 좋은 일이 언젠간 꼭 벌어질 거라는 걸 예상하고 있다.

이렇게 연결된 기기들은 당신이 인지조차 하지 못하는 사이 당신의 모든 이용 정보를 수집하고 있지만, 대부분의 사람들이 생각하는 건 기기의 기능이나 색깔에 관한 것이다. 사람들은 사생활 보호에 대한 요소는 생각하지 않는데, 바로 이것이 문제다.

기업이 처한 위험
사물인터넷 기기의 잠재적인 위험은 개별 기업에 더 크게 닥쳐올 것으로 보인다. 소비자들은 개인용 기기가 자신들을 감시하고 대화를 엿듣는다는 생각에 이런 위험에서 미리 빠져나갈지도 모른다. 하지만 기업들은 이런 관점에서 위험을 생각하지 않는다. 인터넷으로 연결된 기기들을 기업 내에 배치하기 전에 잠깐 멈추고 생각해봐야 한다. 어떤 종류의 정보가 수집되며 어디로 이 정보가 흘러갈 것인지에 대해서 말이다. 프라이버시를 중요하게 생각하는 기업이라면, 사물인터넷 기기는 진짜 골칫거리가 될 것이다.

동네 커피숍 주인들은 가게를 모니터링하고 보호하는 데 일반 가정집 보안 수준의 기기를 구입한다. 거의 즉각적으로 해당 기기의 시스템은 와이파이 네트워크에 연결된다. 그러나 가게 주인들은 그것의 잠재적인 영향에 대해 생각하지 않는다. 기기의 보안이 제대로 구축되지 않을 경우, 기기에 대한 제어를 잃을 수도 있다는 사실을 전혀 생각지 못하는 것이다. 만약 기기가 해킹될 경우, 사이버 범죄자들은 그 가게 고객들의 트래픽이나 흐름을 감시할 수 있고 심지어 금전 등록기 근처의 카메라를 매개로 신용카드번호를 확대해서 볼 수도 있다.

이 같은 위험은 소규모 업체들에만 해당되는 것이 아니다. 중소기업에선 스마트TV를 활용하는 경우가 많다. 스마트TV는 분석 자료나 통계 자료를 디스플레이하기 위해 와이파이 네트워크에 연결되곤 한다. 그런데 스마트TV는 광고 정보와 이용 통계 정보 등을 수집하기 위해 스마트TV 제조업체들로 연결돼 있기도 하다. 새로 나온 TV 중 일부는 마이크와 웹캡이 내장된 경우도 있다. 거기다 로비에 있는 카메라들도 생각해보라. 이 모든 기업 내부정보가, 그러니까 언제 어디로 사람들이 들어오고 나가는지, 사람들이 무엇을 하고 있는지에 대한 모든 정보가 클라우드에 기록되고 있다. 그걸 보호하는 건 비밀번호 딱 하나 밖에 없다는 점도 기억해야 한다.

위험을 생각하는 것이 먼저다
사물인터넷 기기를 집이나 회사에 들이지 말라고 주장하는 것이 아니다. 사물인터넷 기기를 일상에 들여오기 전에 생각해야 할 것들이 몇 가지 있다고 말하려는 것이다. 그리고 이를 의식하고, 위험을 인지한 결정을 내려야 한다고 주장하는 것이다.

인터넷으로 연결된 기기를 구입할 때는, 그 위험과 혜택을 저울질해보라. 공격자의 손에 정보가 넘어갈 때의 위험을 감수할 만한 가치가 있는가? 정보가 클라우드에 저장된다면, 길고 강력한 비밀번호를 사용하고 있는지 분명하게 확인해라. 그리고 가능한 한 모든 곳에 이중인증을 활성화했는지도 확인해라. 기기 보안을 유지해라. 소프트웨어를 언제나 최신 상태로 업데이트해라. 당신과 당신의 조직이 생산하는 정보들을 할 수 있는 한 최선을 다해서 보호해라.

마지막으로, 어떤 정보를 제조업체에 제공하고 있는지 인지해라. 이는 사물인터넷 기기 제조업체의 프라이버시 정책을 확인하면 된다. 당신의 정보를 수집하고 있는 곳이라면 어떤 정보를 수집하고 있는지 법적으로 밝혀야 할 의무가 있다.

사물인터넷이 엄청난 가능성을 갖고 있다는 점은 부인할 수 없다. 그러나 사물인터넷 산업이 어디로 갈지, 앞으로 무슨 일이 일어날지 알고 있는 사람은 아무도 없다. 다만, 눈을 크게 뜨고 이 새로운 세상에 뛰어들라는 조언만 덧붙이고 싶다.

글 : 라이언 바렛(Ryan Barrett)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>