사물인터넷 보안, 소비자와 제조사가 각자의 대응을 해야 할 때
현재 가장 큰 문제는, 사물인터넷 장비가 설치돼 있다는 것조차 모른다는 것

[보안뉴스 문가용 기자] 사물인터넷은 삶의 모든 영역을 온라인으로 가져온다. 전화, 시계, 프린터, 온도계, 전구, 카메라, 냉장고는 물론 여기에 일일이 이름을 댈 수 없는 수많은 기계들이 가정의 네트워크와 회사의 네트워크에 연결되어 있다. 이런 ‘제품으로 구성된 그물망’이 마련되는 이유는 우리의 삶을 보다 편리하고 윤택하게 만들기 위함이라고 한다. 하지만 제일 먼저 편리하고 윤택해지는 건 사이버 공격자들이다.


보안 업체 타이코틱(Thycotic)의 수석 보안 과학자인 조셉 카슨(Joseph Carson)은 “사물인터넷도 네트워크에 연결된 컴퓨터로 볼 수 있지만, 그렇다고 완전히 같은 건 아니”라고 말한다. PC와 달리 사물인터넷 장비는 특정 기능만을 가지고 있으며, 대부분 저렴하고, 구축과 연결이 간단하다. 그래서 누구나 쉽게 사무실로 장비를 가져와 인터넷에 연결하고 업무에 활용할 수 있게 된다. 관리와 보호가 매우 어려워지는 지점이다.

보안 업체 라피드7(Rapid7)의 사물인터넷 연구원인 데럴 헤일랜드(Deral Heiland)는 “사물인터넷이 확산되면서 여태까지는 인터넷에 연결되지 않았던 장비들이 네트워크에 모습을 나타내기 시작했다”고 말한다. “이 때문에 문제가 더 복잡해지고 있어요. 가장 대표적인 게 다기능 프린터들이죠. 어느 사무실마다 한 대씩 있는 이 프린터들이 기업의 위협이 된 것은 오래 전부터 입니다. 인터넷에 연결되어 있으면서, 보안 장치는 되어 있지 않고, 하루에도 수많은 중요 데이터와 기밀을 전송받으니까요.”

프린터는 수많은 사물인터넷 장비들 중 한 가지 예일 뿐이다. 헤일랜드는 “실제 사물인터넷 보안 점검이나 강의를 위해 기업을 방문하면 가장 많이 듣는 질문은 ‘사물인터넷이란 게 도대체 무엇이며 어디에 있는가?’”라고 말한다. “즉, 사무실에 사물인터넷이 있어도 있는 줄 모르는 겁니다. 보안이 귀찮고 힘들고 비싸서 안 하는 게 아니라, 보호해야 할 장비가 있는 걸 인지 못하는 게 문제라는 거죠. 인터넷에 연결하지 않고도 잘 사용해오던 장비들이 스리슬쩍 사물인터넷으로 둔갑했기 때문입니다.”

거의 모든 사무실에서 찾아낼 수 있는 사물인터넷 장비들은 라우터, 프린터, IP 카메라라고 헤일랜드는 말한다. 또한 요즘은 사물인터넷 냉장고를 휴게 공간에 배치하는 곳도 늘어나고 있다고 한다. “사이버 범죄자들은 사물인터넷 장비들을 통해 침투할 방법들을 모색합니다. 어떤 공격이 통하고, 어떤 공격이 통하지 않는지 실험도 해보고, 그런 공격을 통해 뭘 얻어낼 수 있는지도 꼼꼼하게 계산합니다.”

최근 보안 업체 트렌드 마이크로(Trend Micro)는 “공격자들이 사물인터넷 장비들로 구성된 봇넷을 구축하고, 이를 다른 공격자들에게 대여하는 방식으로 수익을 올리고 있다”는 내용의 보고서를 발표한 바 있다. 산업 현장에 있는 사물인터넷 장비에 침투하는 데 성공한 공격자들의 경우, 기능을 마비시키고 피해자를 협박하기도 한다.

이렇게 사물인터넷 장비가 공격의 주요 통로가 된 것은 미라이(Mirai)가 등장하고부터다. 트렌드 마이크로의 글로벌 위협 연구 담당자인 존 클레이(Jon Clay)는 “미라이와 그 변종들은 훗날 사물인터넷의 역사에 반드시 기록될 악의 축”이라고 말한다. “미라이는 여러 가지 기록을 남긴 최초의 사물인터넷 봇넷이며, 소스 코드가 무료로 풀리기까지 하면서 여러 사이버 범죄자들이 변종을 만드는 데 기여하기도 했습니다. 하지만 그 덕분에 해커들 특유의 ‘창의력’이 덜 발휘되고 있다는 느낌도 있습니다. 그들 입장에서는 미라이 코드 가져다가 살짝 바꾸기만 하면 되거든요.”

하지만 분명한 건 사물인터넷 때문에 공격의 방법과 통로가 늘어났다는 것이라고 그는 말한다. “그리고 그 증가세는 이어지고 있죠. 앞으로도 더 많아질 것입니다. 새로운 장비들이 더 많이 나타나고, 연결되기 때문입니다.” 실제 사이버 범죄자들은 사물인터넷을 어떤 방식으로 공격해야 하는지 여러 모로 살피고 있는 중이다. 랜섬웨어를 사용해 마비 상태로 만들어버리기도 하고, PoS 멀웨어처럼 특정 장비를 겨냥한 공격 도구를 사용하기도 한다. 이런 악의적 발상은 내년에도 이어질 전망이다.

사물인터넷 문제를 더 심화하는 건 국가의 지원을 받고 있는 해킹 단체들이다. 최근 이 고급 해커들은 사물인터넷 장비들에 설치된 펌웨어를 노리거나, 사물인터넷 장비들을 활용한 디도스 공격에 집중하는 모습을 보이고 있다. 그들 입장에서 대대적인 해킹을 하지 않아도 비슷한 효과를 낼 수 있으니 사물인터넷 연구에 관심을 가질 수밖에 없는 것이다.

몇 년 전, 스마트폰이 무서운 속도로 확산될 때도 기업들의 태도는 비슷했다. “모바일이 업무 환경에 무섭게 치고 들어올 때, 혼란, 공포, 무시의 3요소가 기업들에 고루 나타났습니다. 그게 다시 반복되고 있습니다. 이제 다시 사물인터넷이라는 새로운 현상에 맞춰 보안을 강화하고 데이터를 보호해야 할 때입니다. 산업 전체로서는 새로운 규정과 표준을 도입해야 할 필요가 있고요. 특히 사물인터넷 장비 제조 산업에서의 제도 마련이 시급합니다.”

기업들과 제조 업체들, 무엇이 부족한가
보안 업체 데이터트라이브(DataTribe)의 CEO인 마이크 얀케(Mike Janke)는 “사물인터넷 때문에 당장의 공격 표면이 기하급수적으로 늘어나고 있다는 것을 기업들이 인지해야 한다”고 말한다. 그러면서 “예전에는 은둔의 IT(Shadow IT)가 회사에 알리지 않고 직원들이 회사 컴퓨터에 설치하는 프로그램을 말했다면, 요즘은 회사 와이파이에 점검 없이 연결하는 스마트워치, 헤드폰, 태블릿 등을 말한다”고 설명한다.

“직원들 한 사람 한 사람으로서는 개인 장비를 회사로 가져와 사용하는 것일 뿐이지만, CISO로서는 이보다 큰 골칫거리가 없을 정도입니다. 허락도 구하지 않고, 통보도 없이 누군가 연결한 장비 때문에 사고가 발생한다 해도 전부 CISO의 책임이 되니까요. 하지만 예산, 인력, 시간, 능력 등 현실적으로 이 문제를 해결할 여력이 없는 것도 사실입니다. 취약한 사물인터넷이 증가하고 있다는 지금의 현상은 보안 책임자 눈에 다가오는 재앙을 지켜볼 수밖에 없는 상황과 같습니다.”

클레이는 “패치 관리도 제대로 되지 않는 게 많은 조직들의 현실”이라는 것도 지적한다. “비단 사물인터넷 장비와만 관련된 문제가 아닙니다. 예전부터도 문제였죠. 즉 지금 이 대대적인 사물인터넷 시대가 되기 전에 충분히 훈련되지 않은 겁니다. 사물인터넷 보안이라는 건 제조사의 패치 발행과, 사용자들의 패치 적용에 거의 대부분 의존하는데 말이죠. 기업들이 스스로의 보호를 위해 지금 당장 할 수 있는 건 바로 패치 관리 강화입니다.”

카슨은 “조직 차원에서 사물인터넷 장비를 도입하기 전에 꼼꼼하게 검토하는 절차와 방법부터 마련해야 한다”고 주장한다. “예를 들어 데이터 수집이나 네트워크 스캔을 하는 장비를 도입하고 싶다면, 그 장비가 어느 정도로까지 깊게 혹은 광범위하게 접근할 수 있는지, 공격자 입장에서 어떻게 악용할 수 있는지, 누가 어떤 권한을 가지고 관리해야 적당한지 등을 고려해야 한다는 것이죠. 단순하게 ‘가시성 확보를 위한 스캐너가 필요해’라고 구매를 결정하지 않아야 한다는 겁니다.”

한편 제조사들 편에서 감당해야 할 역할은 더욱 크다. 카슨은 “제조사의 기조가 바뀌어야 한다”고 주장한다. “편리성과 다기능, 설치의 용이성, 저렴한 비용만 강조해서는 안 됩니다. 그런 걸 소비자에게 적극 알리더라도, 제조 과정에서까지 그런 가치들에만 집중되는 모습을 보여서는 안 되겠죠.”

헤일랜드는 “세상에는 두 가지 종류의 사물인터넷 장비 생산자들이 존재한다”고 말한다. “하나는 ‘화이트 라벨(white label)’에 속하는 생산자들입니다. 생산은 하되, 자기 이름표를 붙이지 않고 다른 업체에 판매해서, 구매한 업체가 자신의 이름표를 대신 붙일 수 있게 해줍니다. 이 경우 보안 문제가 거의 반드시 생기고, 거의 반드시 커집니다. 취약점이 나와도 원 제조사를 추적하기가 어렵고, 원 제조사가 패치를 만든다 해도 거쳐가야 할 경로가 너무 복잡해 엔드포인트에 도달하지 않습니다. 실제 아동용 GPS 기반 스마트워치들에서 이런 문제가 빈번하게 일어나고 있습니다.”

두 번째 그룹은 자신의 이름을 제대로 붙여서 시장에 내놓는 기업들이다. “이 부류에 속하는 기업들이라고 해서 완벽한 건 아닙니다만, 최근 몇 년 동안 보안을 강화하기 위한 움직임을 보여주기는 했습니다. 취약점을 발견해서 알리기도 쉽고, 패치를 배포했을 때 엔드포인트에 적용하기도 쉽죠. 앞으로 사물인터넷 장비 제조와 관련된 표준과 제정이 마련될 것인데, 이런 기업들은 적응하기가 훨씬 쉬울 겁니다.”

보안 컨설팅 전문 조직인 ISE(Independent Security Evaluators)의 연구원 쇼낙 미라니(Shaunak Mirani)는 “제조사들은 제조 과정에 대한 감사를 보다 자주 받아야 할 필요가 있다”는 입장이다. 최근 ISE는 라우터와 NAS 장비들에 대한 분석과 연구를 진행하고, 대다수에서 고위험군 취약점들을 발견한 바 있다. “대부분 루트로까지 침투가 가능하게 해주는 취약점들이었습니다. 거기서부터 공격자들은 네트워크의 다른 부분으로까지 갈 수 있는 것이죠.”

미라니는 “최근 분석에 의하면 공격자의 횡적인 움직임까지 가능하게 해주는 데에까지 사물인터넷의 기능이 좋아지고 권한이 높아졌다”며 “이 부분이 어쩌면 사물인터넷 장비에서 가장 큰 문제”라고 말한다. “사물인터넷 장비 하나를 누군가 침해했다고 해서 그게 그렇게 큰 문제가 되지는 않습니다. 하지만 그걸 통해 기업의 핵심 자산으로까지 전진할 수 있게 되니까 문제가 되는 겁니다. 편리하기 위해 장비와 장비끼리의 소통을 가능하게 하고, 그것에 대해서는 아무런 검사나 관리도 하지 않기 때문에 발생하는 문제죠.”

정책과 표준, 그리고 ‘별점’
하지만 카슨은 최근 생산자들 사이에서도 보안에 대한 중요성을 깨닫는 분위기가 일어나고 있다고 말한다. “그렇게 될 수밖에 없는 게, 여러 정책들이 나오고 있기 때문입니다. 예를 들어 캘리포니아 주에서는 사물인터넷 보안법(IoT Device Security Act, SB-327)이라는 게 등장했습니다. 2020년 1월 1일부터 시행될 예정이죠. 이 때문에 생산자들은 ‘적정 수준의 보안 기능들을 반드시 도입’해야 합니다.”

미국표준기술연구소(NIST)도 올 여름 “사물인터넷 장비들을 위한 핵심 사이버 보안 기능 기준(Core Cybersecurity Feature Baseline for Securable IoT Devices)”이라는 것을 발표했다. 물론 법적 강제력을 가지고 있는 문건은 아니지만, 그렇다고 온화한 가이드라인인 것만도 아니라고 전문가들은 평가하고 있다. “꽤나 강력한 표현들이 군데군데 눈에 띕니다.” 카슨의 설명이다.

NIST는 위 문건을 통해 다음과 같은 보안 기능을 자발적으로 포함시킬 것을 권고했다.
1) 네트워크 연결 시 장비 식별
2) 소프트웨어와 펌웨어 변경과 관련된 환경설정 옵션
3) 저장된 정보와 전송되는 정보를 보호할 장치
4) 로컬 및 네트워크 인터페이스에 대한 제한된 접근
5) 소프트웨어와 펌웨어의 업데이트 가능성
6) 사이버 보안 관련 이벤트 로깅

미국만 이런 준비를 하고 있는 건 아니다. 영국에서도 ‘소비자용 사물인터넷 보안을 위한 직업 규약(Code of Practice for Consumer IoT Security)’이라는 것이 발간됐다. 여기에는 13개의 보안 관련 ‘베스트 프랙티스’들이 열거되어 있다. 그 중 제일 처음 등장하는 건 비밀번호다. “모든 사물인터넷 장비들은 고유하며 재설정 가능한 비밀번호로 보호되어야 하되, 공장에서 설정한 디폴트 값으로의 재설정은 불가능하도록 되어야 한다”라는 문구로서 말이다.

그 다음 강조되고 있는 건 취약점 공개와 관련된 정책이다. 보안 전문가들이 취약점을 발견했을 때 쉽고 체계적으로 보고할 수 있도록 채널을 개설하라는 게 요지다. 그 외에 더디지 않은 소프트웨어 업데이트, 안전한 크리덴셜 저장 시스템, 암호화된 데이터 전송 등이 강조되었다.

GDPR을 위시로 ‘프라이버시’와 관련된 데이터 보호에 집중하고 있는 EU는 어떨까? TCG(Trusted Computing Group)의 의장인 요어그 보르셔트(Joerg Borchert)는 “사물인터넷 보안과 관련해서 프라이버시 역시 중요한 논점”이라며 “EU에서 현재 프라이버시 강화에 초점을 맞추고 있는 것처럼 보이지만, 거기서부터 시작해 사물인터넷 보안도 이야기 될 전망”이라고 말한다. “이미 TCG는 몇몇 정부 기관들과 사물인터넷 보안 강화를 위한 이야기를 나누고 있습니다.”

또 하나 사물인터넷 제조사들을 압박하는 장치가 있으니, 바로 UL의 사물인터넷 보안 평가(IoT Security Rating) 제도다. 생산된 사물인터넷 장비들을 보안의 관점에서 평가해 그 점수를 공개하는 것인데, 이것이 소비자들의 구매 결정에 영향을 미치기 시작하면 제조사들로서는 평가 기준에 맞추기 위한 최소한의 보안 장치 마련을 고려치 않을 수 없다. 실제 UL도 사물인터넷 보안의 중요성을 더 널리 알리기 위해 이 ‘별점’ 제도를 마련했다고 한다. 보안에 더 신경을 쓴 업체가 소비자들의 선택을 받을 권리가 있다는 것.

“사물인터넷의 보안 문제는, 기술적인 문제이기도 하지만, 상업적 문제라고 볼 수도 있습니다. 자동차나 가전제품들은 에너지 효율 검사를 받습니다. 그 결과에 따라 소비자들의 선택이 이뤄지죠. 효율이 좋은 제품의 가격이 높을 수도 있지만, 소비자 입장에서는 에너지 효율이 장기적으로는 더 유리할 수 있고, 따라서 그런 제품들이 선택되는 경우의 수가 높은 편입니다. 그러면서 에너지 효율을 생각치 않고 만든 제품들은 도태되어 가고 있죠. 보안 평가 제도도 이런 흐름을 만들 것으로 기대합니다.” UL 측의 설명이다.

우리에게 남은 과제는?
2020년, 그리고 그 너머에까지 우리에게 닥칠 미래의 모습은 분명하다. 사물인터넷을 가지고 불의하고 정당하지 못한 수익을 내려는 사람들이 계속해서 존재할 거라는 것이다. 의료 현장, 산업 현장, 제조 현장에서 사용되는 각종 사물인터넷 장비들을 노리는 사이버 범죄자들은 계속해서 공격의 범위와 능력을 키워갈 것이라고 클레이는 예측한다. “우리는 더 편리하고 더 나은 자동화 장비와 기술들을 요구할 것이고, 그것들을 공격자들은 계속해서 악용할 것입니다. 사물인터넷은 당분간 새로운 공방의 전장으로 남을 겁니다.”

카슨은 각 산업들이 구분 없이 정보를 공유할 필요가 있다고 촉구한다. 그래야 모두가 사물인터넷 장비를 보다 단단하고 안전하게 보호할 수 있다는 것이다. “산업을 초월한 정보 공유와 도움을 통해 생각보다 많은 걸 배울 수 있습니다. 사물인터넷 보안 문제는 너무나 광범위하고 지나치게 빠르게 확산되고 있어 공동의 대처가 아니면 해결 방법이 없습니다.”

클레이는 “정부 등의 권력 기관들이 계속해서 표준과 규정을 만들어 갈 것”이라며 “기술이나 상업적 방법으로 이 문제를 풀어가지 못하면 결국 강력한 규제만이 답이 될 수밖에 없다”고 말한다. “규제가 반드시 나쁘거나 좋은 것만은 아닙니다. 하지만 지금의 우리는 조금 너그러운 규제로 이뤄진 덜 빡빡한 미래를 선택할 기회를 가지고 있습니다. 안전해지는 것도 좋지만, 그 안에서 보다 풍요롭고 자유로운 삶을 누리는 것도 중요한 것 아니겠습니까.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>