사물인터넷 기기 보안 취약…설계부터 보안 고려해야

IoT보안인증을 받은 엠투클라우드의 백신 정온관리 기기(사진=엠투클라우드)

사물인터넷 기기는 항상 인터넷에 연결돼 있고 백신 설치가 어려워 해커들의 표적이 되기 쉽다. 사용자와 사물이 밀접하게 붙어있는 있는 만큼 보안에 대한 중요성도 점점 커지고 있다.

하지만 당장 '쇼단(shodan)'이나 '인세캠(insecam)' 같은 사물인터넷 검색엔진에 검색만 해봐도 관리자 권한으로 접속할 수 있는 사물인터넷 기기를 수백여 개 찾아볼 수 있다.

이렇게 노출된 IP카메라나 CCTV는 누구나 화면을 조작해 움직일 수 있다. 카메라 플래시를 켜거나 전면·후면카메라를 바꾸는 것도 마음대로다. 만약 카메라가 아닌 병원 사물인터넷 기기의 보안이 뚫렸다면 환자의 생명과 직결될 수 있는 심각한 문제다.

◆국내 유통 중인 사물인터넷 기기 보안 ‘취약’…정부의 IoT 보안 인증 통과는 한 곳뿐

국내에 유통 중인 사물인터넷 제품의 보안은 취약한 편이다. 특히 관리자 권한으로 접속할 수 있는 아이디와 비밀번호가 ‘admin(관리자)’이나 ‘1234’ 등 기본 상태로 방치되는 경우도 허다하다.

실제로 국회 과학기술정보방송통신위원회 소속 변재일 의원에 따르면 IP카메라 400개 제품 중 31.5%인 126개 제품이 취약한 아이디·비밀번호 설정으로 해킹 위험에 노출돼 있다.

한국인터넷진흥원(KISA)도 심각성을 인지하고 사물인터넷 기기의 보안 수준을 평가하는 'IoT 보안 인증' 제도를 마련했다.

인증·암호화·데이터 보호·플랫폼 보호·물리적 보호 5개 영역을 평가하는데 소요시간도 표준의 경우 4~5주 정도로 짧은 편이다. 인증수수료도 없어 검사를 받는 중소기업들의 부담도 거의 없는 편이다.

◆기존 제품들은 적용 어려워…설계부터 보안 고려해야

인증에 걸리는 시간도 짧고 수수료도 없지만 지금까지 인증을 획득한 기기는 엠투클라우드의 백신 정온 센서 한 개뿐이다.

기업들의 인증 참여율이 저조한 이유는 기존 제품들이 설계단계부터 보안을 고려하지 않아 기준을 충족하기 어렵기 때문이다.

사물인터넷 기기에 들어가는 저전력의 센서는 컴퓨팅 파워가 낮다 보니 일반 컴퓨터처럼 보안 모듈을 탑재하기가 쉽지 않다.

또한 일반적으로 대다수의 사물인터넷 기기의 무선센서네트워크(WSN)는 인터넷 네트워크와 서로 다른 통신 규약, ‘프로토콜’을 사용한다. 무선 센서 네트워크가 중앙 서버와 연결되는 과정에서 프로토콜을 변환해줘야 하는데, 이 과정이 해킹이나 위변조가 발생하는 취약점이 된다.

엠투클라우드 관계자는 “백신 정온관리 센서를 설계하는 단계에서 보안을 고려했기 때문에 인증을 통과할 수 있었던 것 같다”며 “센서부터 인터넷 프로토콜을 사용하도록 설계해 서버와 센서가 1대1로 연결되다 보니 중간에 누가 들어오거나 해킹을 시도하기 어려운 구조”라고 설명했다.

사물인터넷 기기 보안취약점

또한 대다수의 사물인터넷 기기 제조회사가 영세해 보안을 고려하기 어려운 것도 참여율 저조의 이유 중 하나다.

박창열 KISA IoT융합보안팀장은 “사물인터넷 제조기업의 80% 이상이 50인 미만의 중소업체”라며 “하루빨리 출시해 판매하는 것이 성패에 큰 영향을 주는 업체들이라 보안을 고려해 개발할 여력이 부족한 상황”이라고 밝힌 바 있다.

한국인터넷진흥원은 현재 KT·서울시 등 IoT 제품 수요처와 전략적인 업무제휴를 맺고 중소 사물인터넷 기업의 자발적인 참여를 유도하고 있다. 또한 보안 인증에 대한 인식 부족을 개선하기 위해 홍보나 정보공유 활동을 강화해 나갈 계획이다.