안방 CCTV를 누군가 훔쳐본다… 스마트 홈 파고드는 ‘IoT 해킹’

IoT 보안 취약 신고, 3년새 3배로

#1. 1월 어느 날 국내 한 기업 사무실 프린터에서 갑자기 정체 모를 출력물이 쏟아지기 시작했다. 출력물엔 양복 차림 사내가 담배를 손에 들고 소파에 앉아 있는 뒷모습과 함께 ‘우리는 전 세계 모든 프린터에 접근할 수 있다(We have the ability to reach every single printer in the world)!’라는 문구가 찍혀 있었다.

#2. 5월 서울동부지법은 한 여성의 집 안방에 설치된 홈 폐쇄회로(CC)TV를 해킹해 자는 모습을 훔쳐본 외국인 강사에게 벌금 500만 원을 선고했다. 해당 강사는 해외 인터넷 사이트에서 피해 여성의 인터넷주소(IP주소)를 찾아낸 뒤 이를 통해 홈 CCTV 영상에 접근했다.

더 이상 공상과학 영화 속 얘기가 아니다. 대한민국에서 실제 일어난 두 사건이다. 인터넷으로 연결된 기기를 해킹해 마음대로 조종해서 업무를 방해하거나 성범죄까지 저지르는 일이 한국에서도 현실화되고 있는 것이다. 특히 TV나 냉장고 같은 가전부터 책상, 자동차까지 모든 물건이 인터넷으로 연결되는 사물인터넷(IoT) 시대가 성큼 다가오고 있지만 보안은 취약해 집 안 어디에서건 안심할 수 없다는 불안감이 커지고 있다.

30일 한국사물인터넷협회에 따르면 지난해 기준 국내 IoT 산업 매출액은 8조6082억 원이었다. 정부 차원의 실태조사 결과가 처음 나온 2015년에는 4조6709억 원이었으니 연평균 20% 이상 성장하고 있는 셈이다. 회사, 가정 내에 있는 전자 기기들이 인터넷으로 연결되고 모바일로 조종할 수 있는 환경이 마련되고 있기 때문이다.

산업이 커지는 속도에 비례해 보안 위협도 커지고 있다. PC나 모바일 속 데이터의 유출 또는 교란에 그쳤던 기존 사이버 공격과 달리 IoT 해킹은 개인 공간에서는 심각한 수준의 프라이버시 침해로, 기업 공간에선 업무의 물리적 마비로도 이어질 수 있다. 특히 최근 들어 반려동물 관리를 위한 홈 CCTV 설치가 늘면서 피해 우려가 커지고 있다. 시장 자체가 초기 단계인 만큼 이용자 중에는 해킹 피해를 입고 있지만 이를 인지하지 못하는 경우도 많을 것으로 업계는 보고 있다.

IoT 해킹은 금전적 이익을 노린 공격부터 사회·정치적 목적, 개인정보 유출 목적, 단순한 영향력 행사까지 광범한 배경이 있을 것으로 추측된다. 앞선 공유 프린터 해킹 사례에서는 해커가 출력물을 통해 ‘프린터로 광고를 하고 싶으면 연락하라’는 식의 장난스러운 메시지를 남겼다.

보안업계에서는 IoT 해킹 피해를 막기 위해 사전 취약점 파악에 나섰다. 취약점은 특정 제품 혹은 서비스가 사이버 공격에 쉽게 뚫릴 가능성이 있는 경로를 의미한다. 한국인터넷진흥원(KISA)에 민간 보안전문가들이 신고한 국내 IoT 관련 취약점 건수는 2015년 130건에서 지난해 3배인 387건으로 늘었다. 국내에서 신고된 대표적인 취약점 사례는 △유무선 공유기의 관리자 권한 탈취를 통한 연결기기 원격 제어 가능성 △스마트홈 서비스의 중앙 관리 서버에 침투해 특정 가정 정보(전기 사용량, 방문자 등)를 빼낼 가능성 등이 꼽혔다.

전문가들은 아직까지 IoT 기기 설계 및 생산 시 보안이 충분히 고려돼 있지 않은 경우가 많다고 경고한다. KISA는 시중에 도입된 IoT 제품들을 대상으로 2017년 12월부터 IoT 보안인증 서비스를 시행하고 있다. 5월 KT가 IoT 기기의 취약점을 테스트하는 융합보안실증센터를 여는 등 관련 업계에서도 개선 노력을 시작했다.

업계 노력과 별개로 이용자가 주의해야 할 사항도 있다. 제품을 구매한 뒤 초기 비밀번호를 바꾸지 않는 등 기초 보안수칙을 지키지 않을 경우 위협에 노출될 가능성이 높아진다.

이동근 KISA 침해사고분석단장은 “홈 CCTV, 공유기, 스마트홈 서비스 등 IoT 시장이 확대됨에 따라 이를 노리는 사이버 공격도 다양해지고 있다. 이용 중인 IoT 기기에 대한 보안 업데이트, 외부 접속경로 차단, 비밀번호 설정 및 변경 등 보안 수준을 높이기 위한 기본적인 노력이 필요하다”고 말했다.

곽도영 기자 now@donga.com