[Tech] “사물인터넷, 편리한 만큼 보안 위협 높다”
상태바
[Tech] “사물인터넷, 편리한 만큼 보안 위협 높다”
  • 데이터넷
  • 승인 2013.12.16 18:20
  • 댓글 0
이 기사를 공유합니다

사생활 침해·대규모 사이버 테러 가능 … IoT 안전한 활용 위한 보안 대책 필수

디지털 기기는 물론이고 동물, 사람에 이르기 까지 지구상에 존재하는 모든 사물이 네트워크에 연결되는 사물인터넷(IoT) 시대가 한 발 더 다가왔다. 지능화된 사물이 서로 협력하면서 사회는 더 안전하고 편리하며 효율적으로 발전할 수 있지만 그보다 더 높은 보안위협을 내재하고 있다. 각 가정의 디지털 기기에 침투해 사생활을 유출할 수 있으며, 국가 주요 시설을 파괴하거나 국가 기밀정보를 빼내는 등의 사이버 테러·사이버 스파이 활용이 가능하게 된다. IoT 해킹 사례를 살펴보고, 보안의 필요성을 점검한다. [김재범 한국오라클 퓨전미들웨어 사업부 IDM 세일즈 팀장 / jae.buhm.kim@oracle.com]

어린 시절 좋아하던 SF 드라마나 영화를 볼 때면 그 속에 나오던 많은 신기한 일들 때문에 눈을 뗄 수 없었던 기억이 난다. 시계로 자동차에 원격명령을 내리고, 차에서는 네트워크를 통해 수많은 정보를 주고받고 활용하고, 열쇠가 없어도 자동차는 주인의 신체정보를 이용해 주인을 알아보고 문을 열고, 집에 들어가면서 음성 명령으로 불을 켜고 TV를 틀며 전자레인지를 가동하는 장면을 볼 때, 이런 신기한 일들이 실제로 구현되는 것은 먼 미래에나 가능하리라 여겼다.

하지만 이런 일들은 어느 사이엔가 우리 실생활 속에서 공상이 아닌 과학의 형태로 구현되고 있다. 시계형 통신장치는 삼성과 애플이 구체적인 제품을 내어놓고 있으며 자동차와 관련된 기술도 대화를 하는 수준까지는 아니어도, 상당부분 텔레메틱스라는 이름으로 구현돼 활용되고 있다. 또 홈 오토메이션 기술은 많은 아파트들에 이미 구현돼 입주자의 편의성을 개선하고 안전을 지키는 도구로 활용되고 있다.

발달된 네트워크와 IT를 접목해 이러한 상상속의 일들을 실생활 속에서 실현해주는 기술의 기반은 사물인터넷(IoT: Internet of Things)이다. 가트너는 10월 미국 올랜도에서 진행된 ‘가트너 심포지엄·IT엑스포
2013’ 행사에서 사물인터넷을 주목할 만한 10대 전략 기술 중 하나로 3년 연속 선정했다.

이에 많은 IT 벤더들은 시장상황에 발맞춰 자사가 기존에 가지고 있던 강점 - 반도체, 네트워크, 서비스 플랫폼 - 등을 사물인터넷에 활용하고 이를 통해 시장을 선도하고자 노력을 기울이고 있다.

사물인터넷 정의
사물인터넷의 개념은 간단하다. 제품이나 기계와 같이 일상생활에서 사용되는 사물을 네트워크로 연결해 그들이 가지고 있는 데이터를 읽어 내거나 서로 소통할 수 있게 하는 것이다. 사물이 일단 네트워크로 연결되면 사물은 ‘스마트 오브젝트’로 변화하게 돼 인터넷의 일부, 그리고 비즈니스 프로세스 상의 하나의 객체로 존재할 수 있다.

스마트 오브젝트는 이러한 위상을 제공하기 위해 데이터를 읽을 수 있고, 인식·구분이 가능하고, 지정·접근이 가능하며, 제어하고, 소통할 수 있는 특징을 가지고 있다. 사물들은 서로 통신할 수 있게 되면서 편의성, 예측가능성, 조작 가능성 등 기존의 특성을 뛰어넘는 새로운 성질을 지니게 된다. 더러워진 카페트가 자신의 상태를 로봇청소기에 알릴 수 있게 되면서 시간에 따른 주기적인 청소가 아닌, 더러워진 상태에 따른 청소를 할 수 있게 돼 전기를 절약할 수 있게 되는 것과 같은 사례가 바로 그 예다.

사물인터넷이 보편화된 세상에서 사람은 사물 상호간, 또는 인간과 통신 가능한 기계들로 둘러쌓여 있다고 볼 수 있으며 이러한 환경을 제대로 활용하기 위해 사람은 어떤 사물들과 어떤 행위가 가능한지에 대한 이해가, 네트워크는 이러한 사물들을 접근·제어할 수 있는 ‘사용자’가 누구인지에 대한 명확한 이해가 필수다.

결국 사물인터넷 도입 이후의 세상은 그동안 오프라인으로만 관리·통제할 수 있었던 많은 사물을 온라인상에서 관리·통제할 수 있게 되며 수작업으로만 수집할 수 있었거나 아예 수집할 수 없었던 더 많은 정보들을 온라인을 통해 신속하게 수집하고 처리할 수 있게 된다.

▲사물인터넷 해킹으로 예상되는 피해

사용자 맞춤형 UX·플랫폼
사물인터넷의 성공을 위한 가장 중요한 두 가지 요인은 사용자 경험(UX)과 플랫폼이라고 할 수 있다. 사물인터넷 환경이 도입됐다고 사용자의 행동패턴이 변화돼야 하거나 추가적인 불편함이 발생한다면 사용자는 바로 그 제품이나 서비스를 더 이상 사용하지 않을 것이다. 따라서 사용자의 요구사항과 행동에 기반한 사용자 경험 설계는 매우 중요하다.

또한 홈 오토메이션에서 사용하는 패드가 각종 사물간의 통신을 주관하는 허브역할을 하듯, 사물인터넷 플랫폼이 잘 준비 돼 있어야 추가적으로 다른 사물들이 네트워크에 연결될 때 사물간의 통신이 발생하고 이를 통해 시너지가 발생하게 된다. 이러한 플랫폼이 갖춰지지 않은 상태에서의 사물간 통신은 기존 연동과 아무런 차이를 보여주지 못한다.

서비스 투자자의 입장에서도 서비스 플랫폼은 투자비용을 최소화할수 있는 장치가 된다. 하나의 플랫폼을 만들고 그 플랫폼을 기반으로 비즈니스를 한다면 더 많은 서비스를 통해 매출을 만들수록 수익성이 좋아지기 때문이다.

사물인터넷을 실생활에 가장 잘 활용한 예 중 하나가 바로 제34회 아메리카스컵 요트대회다. 지난 9월 미국 샌프란시스코에서 열린 제34회 아메리카스컵 요트대회에서 오라클 팀 USA 요트팀은 사물인터넷 솔루션을 이용한 것이 우승의 주요 비결이라고 발표한 바 있다. 오라클 팀 USA는 팀의 요트에 400개 이상의 센서를 부착해 풍속과 풍향, 돛의 상태, 배의 움직임, 해류, 유속 등을 데이터화했다.

요트에 장착된 각 센서는 매일 200GB에 이르는 데이터를 쏟아냈으며, 초당 3000만개에 이르는 센서 데이터 정보가 발생했다. 요트 속도, 돛대 방향에 따른 요트 위치, 물살의 저항 등 센서가 수집하는 정보도 다양했다. 오라클 팀 USA는 이렇게 발생한 정보를 와이파이를 통해 실시간으로 분석용 데이터베이스(DB)로 전송했으며, 오라클 팀 USA 분석팀은 분석 애플리케이션을 사용해 수집된 정보 중 필요한 정보가 무엇인지 걸러 내고, 정리된 데이터를 바탕으로 어떻게 요트를 제작하고 운영해야 하는지를 파악했다.

오라클 팀 USA의 요트에는 태블릿 6개가 장착돼 있었고, 선수들은 요트 운행에 필요한 정보를 실시간으로 태블릿을 통해 얻었다. 선수들 팔목에 부착된 PDA와 시계도 정보 도우미 역할을 맡는다. 오라클의 빅데이터 솔루션은 요트 운행 데이터를 분석해 선수별 맞춤 정보를 제공했다. 돛을 관리하는 선수에게는 돛대 관련 정보가, 운행을 하는 선수에게는 요트 운행 정보가 전송됐다. 특히 요트에 탑승한 각 선수들은 손목에 PDA를 차고 있어 분석 팀으로부터 오는 정보에 따라 배의 움직임과 전략을 결정했다.

이러한 사물인터넷의 지원에 힘입어 오라클 팀 USA요트팀은 막바지에 그 누구도 예상치 못했던 상황을 만들어냈다. 1대 8로 뒤지고 있던 경기 흐름을 막판에 8연승을 거두며 9대 8로 역전승할 수 있었다. 오라클 팀 USA 요트팀의 사물인터넷 활용방법은 사물인터넷이 개인에게 제공할 수 있는 생활의 편리함뿐 아니라, 기업의 혁신차원에서도 지대한 기여를 할 수 있다는 것을 보여주고 있다.

이미 활용되고 있는 생산 자동화, 에너지 절감, 시설물 관리, 유통망 검색, 오·폐수 관리 등의 분야를 넘어서 많은 기업들이 도입했거나 도입을 검토하고 있는 빅데이터의 경우, 사물인터넷 개념 하의 수많은 센서들로부터 얻은 기초 데이터를 분석해 신사업분야 개척이나 프로세스 고도화에 활용하고 있다. 뿐만 아니라, 분석된 데이터를 실시간으로 현장에 전달해 기업의 경쟁력 개선에도 활용할 수 있음이 이번 요트대회를 통해 증명됐다고 할 수 있다.

치명적인 보안 위협
그러나 모든 일에는 명암이 있듯 사물인터넷의 도입이 항상 긍정적인 효과만을 줄 수 있는 것은 아니며 우리에게 위협이 될 수도 있다는 사실 또한 드라마나 영화 속에서 잘 나타나고 있다.

말까지 할 수 있었던 인공지능 자동차는 전직 개발자에 의해 탈취돼 주인공의 생명에 위협을 가하거나 범죄에 악용되기도 했고, 많은 해커들은 홈오토메이션 시스템을 해킹해 불법 침입, 도청, 방화, 가스폭발 등의 범죄행위나 테러에까지 활용했으며, 브루스 윌리스가 출연한 영화에서는 사물인터넷과 연결된 국가 기간망을 해킹해 국가 전체를 위험에 빠뜨리는 장면이 나오기도 했다.

더욱 위협적인 사실은 이러한 영화 속 사례들이 실제 상황에서도 일어나고 있다는 것이다. 실제로 발생했던 몇 가지 흥미로운 사물인터넷 보안침해 사례는 다음과 같다.

- 미국 중앙교통통제시스템
몇 해 전 미국에서는 해커가 중앙교통통제시스템을 해킹해 “앞쪽에 공룡이 있으니 주의하세요”라는 메시지를 교통 표지판에 남긴 사례가 있었다. 이는 단순히 전광판에 표시되는 내용을 바꾼 것으로 간단한 장난 정도로 생각할 수도 있으나, 만일 공사중인 상태를 알리거나, 앞에서 발생한 사고를 알리고 있던 메시지를 왜곡하거나 위조한다면 매우 큰 사고로 연결될 수도 있었던 사건이었다. 국가운영 시스템을 전적으로 신뢰하고 있는 국민들에게는 큰 혼란을 가져다 줬다.

- 다리미와 전기주전자에 대한 해킹
러시아에서는 중국산 수입 다리미와 전기 주전자에 해킹에 활용되는 스파이 마이크로칩이 탑재돼 있는 것이 발견됐다. 이러한 제품에 포함된 스파이 마이크로칩은 보안되지 않은 무선 네트워크에 연결할 수 있다. 일단 네트워크에 연결되면 악성코드와 스팸을 퍼뜨릴 수도 있고, 도청이나 정보수집을 해 수집된 내용을 네트워크를 통해 해외의 서버에 전송하는 기능도 가지고 있었다. 실제로 확인된 수량만 30여개에 달하고, 확인되지 않은 수량은 훨씬 더 많을 수도 있는 것으로 보고 있다.

이러한 시도는 다리미와 전기 주전자가 주로 쓰이는 호텔에서 각국 정상이나 주요 기업 CEO, 사업가 등을 대상으로 해킹을 하려고 했던 것으로 추측되고 있다. 또 다른 분석가에 의하면 이러한 다리미와 주전자가 배포한 악성코드에 의해 좀비 PC들이 대량으로 만들어 질 수 있었다면 이들 좀비 PC들을 통제해 훨씬 더 강력한 해킹을 수행할 수도 있었을 것으로 보고있다.

- 스마트팜 서비스 해킹사고
사물인터넷을 효과적으로 잘 이용하는 사례 중 하나가 스마트 팜 서비스이다. 국내 모 통신사에서 스마트폰을 이용해 비닐하우스를 관리할 수 있는 시스템인 ‘스마트 팜’ 서비스를 선보였으며, 해외에서도 이러한 사례를 많이 찾아볼 수 있다. 스마트폰을 이용해 비닐하우스 내부의 온도, 습도 및 급수와 배수, 사료 공급 등을 원격으로 제어함으로써 지능형 비닐하우스로 활용할 수 있는 것이다.

그러나 몇 해 전 유럽에서는 누군가 악의적으로 원격제어를 해킹해 온도, 급수, 사료공급 등을 망쳐 놓으려는 시도를 잡아낸 사례가 있었다. 만약 이 시도가 성공했을 경우, 이 농장이 입었을 피해는 막대했을 것이다.

IoT 해킹 방지 위한 변화
사물인터넷에 관련된 보안관련 이슈는 사물인터넷 도입의 가장 큰 진입장벽으로 여겨지고 있다. ABI리서치에서는 2013년 2월 ‘보안 문제에 직면한 M2M의 이상(M2M Dream Challenged by Alarming Security Concerns)’ 보고서를 통해 사물인터넷 시장이 확산되기 위해 가장 필요한 투자가 보안관련 투자임을 역설했다.

또한 VDC 리서치에서도 40%에 이르는 사물인터넷 임베디드 시스템 및 애플리케이션 개발자들이 개발 프로젝트 진행과정에서 보안관련 사항을 전혀 고민하지 않고 있다는 보고서 ‘스트래티직 인사이트 2012: 임베디드 소프트웨어와 툴 시장, 보안 개발 & 런타임 솔루션(Strategic Insights 2012: Embedded Software & Tools Market, Security Development & Runtime Solutions)’을 내놓기도 했다.

물론 사물인터넷 시대 이전에도 이러한 해킹 시도들이 없었던 것은 아니지만, 사물인터넷 확산이 해킹시도를 더욱 용이하게 만들어 주는 것은 사실이다. 네트워크 연결이 가능한 반도체는 점점 더 작아지고, 저렴해지고 있으며 사물인터넷 환경을 위한 네트워크 인프라도 점점 더 넓어지고 촘촘해지고 있다.

뿐만 아니라, 이제는 인간이 개입하지 않고도 사물끼리 통신이 가능한 기능이 확산되면서 악성코드를 통해 감염시키고 좀비화 될 수 있는 대상 또한 늘어나게 될 것이 자명하다. 그 동안 방화벽 안쪽에서의 단편화된 보안만 책임지던 많은 정책들과 솔루션들은 이러한 새로운 패러다임에 대해 대응하기에 어려움이 있을수 밖에 없다.

이러한 사물인터넷의 보안에 가장 큰 관심을 가지고 있는 조직은 사물인터넷 서비스를 통해 비즈니스와 수익을 만들어내는 사물인터넷 서비스 제공업체들일 것이다. 그들은 실제 서비스를 운영하면서 아래와 같은 보안 관련 고민을 가지고 있는 것으로 조사됐다.

- 사물인터넷 환경은 기업환경과 달리 관리대상이 넓게 분산돼 있고 센서 등의 단순 장비들은 그 사용기술 또한 간단한데 이러한 환경에서 보안의 신뢰성을 높이려면 어떤 방법이 필요한가?
- 수천개의 지능형 사물들이 다른 실제·가상의 대상과 예측 불가능한 방식으로 협력하는 상황에서 과연 어떠한 보호대책이 가능할 것인가?
- 동적 네트워크를 사용해 네트워크 노드간의 보안 신뢰성이 높지 않은 사물인터넷 환경에서 전체적인 보안 신뢰성을 보장하고 활성화 할 수 있는 방법은 무엇인가?
- 어떻게 하면 기존 인터넷 보안기술 관련 투자를 활용해 고도로 단편화된 사물인터넷 네트워크에 대한 보안 투자비용을 최소화 할 수 있는가?
- 사물인터넷 환경에서의 관리 대상의 규모는 기존의 기업형 인터넷 서비스와 비교할 수 없을 정도로 크며, 각각이 만들어내는 데이터 또한 엄청나다. 이러한 규모의 관리대상을 효율적으로 관리할 수 있는 보안 서비스 아키텍처는 무엇인가?

따라서 이러한 고민들을 어떻게 잘 해결할 것인가 하는 것이 사물인터넷 서비스 제공자들의 비즈니스를 확대하고 수익을 키우기 위한 최고의 선결조건이라 할 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.