보안이나 안보가 중요한 것을 알면서도 심각하게 여기지 않을 때가 많다. 사이버 범죄 역시도 우리를 불안하게 하지만 직접 겪기 전에는 실감을 못한다. 하물며 아직 본격화되지도 않은 사물인터넷의 취약성을 거론하는 것은 시기상조라고 생각할 수도 있겠다. 그러나 보안문제는 사물인터넷의 아킬레스건이며 비즈니스의 성패가 달려 있는 빅이슈다. 산업연구원은 “IoT 보안 문제로 인한 경제적 손실이 2020년까지 17조 8000억원에 이를 것”으로 전망했다. 지금까지 해킹의 피해는 주로 정보유출이나 금전적인 것으로, 가상공간에서 발생했다. 하지만 사물인터넷 시대에는 사이버 세상은 물론이고 실제 생활공간에까지 피해가 확대될 것이다. 프라이버시 침해나 경제적 손실뿐 아니라 인간의 생명과 국가 기반시설까지도 위협받을 수 있다는 의미다.



　‘해커의 구글’, ‘사물인터넷의 구글’이라고 불리는 쇼단(Shodan)은 인터넷에 연결된 기기들을 찾아주는 검색엔진이다. 검색어만 입력하면 전 세계의 웹 카메라, 공유기부터 신호등, 핵발전소까지 보안이 취약한 곳을 찾아준다. CNN은 세상에서 가장 무서운 인터넷 검색엔진은 구글이 아니라 쇼단이라고 했다. 창업자 존 메테리는 “사람들은 구글에서 검색되지 않는 것은 찾을 수 없다고 생각한다. 그러나 그것은 사실이 아니다”라고 말한다. 쇼단으로 보완이 허술한 곳을 찾아 정보를 공개적으로 판매하는 비즈니스도 있다. 부펜(Vupen)도 이런 사업을 하는 사이버 보안 업체 중 하나였다. 올해 제로디움(Zerodium)이라는 회사로 변신하면서 전 세계 해커들로부터 인터넷 보안 취약점을 사들여 유통하는 기업으로 사업영역(?)을 넓혔다. 최근 100만 달러를 걸고 애플 iOS 9의 보안 취약점을 공모하여 화제가 되기도 했다. 이런 정보들이 어떻게 사용될지는 쉽게 짐작할 수 있다. 그래서 모든 것이 인터넷에 연결되는 스마트홈, 스마트카, 스마트시티가 불안하다.　



2020년에는 500억 개의 기기가 인터넷에 연결된다고 하는데 아직 1%도 채 연결되지 않았다. 그런데 벌써 가정, 산업, 교통, 방송, 의료 등 전 분야에 걸쳐 보안 위협 사례가 보고되고 있다. 몇 가지만 살펴보자. 2014년 11월 러시아에 위치한 인세캠(Insecam)이라는 사이트는 해킹으로 뚫린 전 세계 CCTV 7만3000여대를 생방송으로 공개했다. 그중에는 침실, 거실, 수영장의 영상도 포함되어 있어 한바탕 소동이 일어났다.
　인터넷에 연결된 가전제품도 안심할 수 없다. 2014년 1월 미국의 보안 업체 프루프 포인트(Proofpoint)는 “TV와 냉장고를 통해 세계 각국 기업과 개인들에게 75만 건의 피싱과 스팸 메일이 발송되었다”고 밝혔다. 사물인터넷망이 뚫리면 원격으로 집안의 기기를 제어하는 ‘홈해킹’이 가능하다. 해커는 현관문에 설치된 스마트 도어를 열고 CCTV의 보안기능을 해제하거나 실내 온도조절기도 마음대로 조정할 수 있다.


이 분야 전문업체인 사이낵(Synack)은 구글이 인수한 감시카메라 회사 드롭캠(DropCam)의 보안 허점을 찾아 공개했다. 외부에서 암호 관련 취약점(heartbleed)을 공격하여 카메라로 집안을 엿보고 마이크도 몰래 작동시켰다. 작년 국제 시큐리티 콘퍼런스인 ISEC에서는 로봇청소기를 해킹하여 탑재된 카메라로 집안 구석구석의 영상을 외부에서 가로채는 시연까지 할 정도였다. 이제 보안 카메라와 청소기의 눈치도 살펴야 할 것 같다.
　인터넷에 연결되어 있는 자동차도 예외는 아니다. 최근 ”자동차도 PC처럼 사이버 공격을 당할 수 있는 대상임을 알리고 싶었다”는 두 명의 해커가 지프 체로키를 해킹하여 원격으로 조종하는 동영상을 유튜브에 올려 화제가 됐다. 이 일로 피아트 크라이슬러사는 140만대의 자동차를 리콜하게 되었고, 해킹을 한 찰리 밀러와 크리스 발라섹이란 두 해커는 우버의 최고 보안책임자로 영입됐다. 그들은 “불행히도 자동차를 구입한 고객은 자동차 보안을 위해 할 수 있는 일이 없다. 그저 제조사 측에 안전한 차를 만들어 달라고 하소연하는 수밖에 없다”고 말한다. 스마트카나 무인자동차도 안심하고 탈 수 없겠다.


　의료나 헬스케어 쪽은 어떨까? 국제 해킹∙보안 콘퍼런스에서는 실제 의료기기를 해킹하여 당뇨병 환자가 사용하는 인슐린 펌프와 심장병 환자의 심장박동기를 원격으로 조정하는 것을 보여주었다. 최근 미국 식품의약국 FDA는 네트워크에 연결되어 보안이 취약해진 약물 주입펌프의 사용을 금지했다. 사물인터넷이 해킹을 당하면 사람의 목숨까지도 위협받을 수 있기 때문이다. 이보다는 가벼운 문제지만 보안 업체 Symantec의 테스트 결과에 의하면 스마트 밴드의 운동량 측정기는 사용자가 어디 있는지 추적할 수 있어 주의가 필요하다고 경고했다. 이제는 의료, 헬스케어 기기도 해커의 표적이다.


센서, 통신과 같은 기본적인 기능만 장착한 일반 사물인터넷 제품의 보안상태는 더 말할 나위도 없다. 이런 저가의 단말기에 복잡하고 전력소모가 많은 기존의 보안 시스템을 사용하기는 어렵다. 게다가 여러 단계를 거치면서 다양한 네트워크 환경, 운영체제, 사업자가 얽혀 있어 일괄적인 보안시스템을 적용하기도 어렵다. 피해가 발생하면 책임 소재를 가리기도 쉽지 않다. 보안 전문가들은 사물인터넷의 보안을 위해서는 센서, 기기, 네트워크, 플랫폼, 서비스 각각의 분야에서 보안 대책을 마련하고 이것을 통합하여 대응할 수 있는 체제가 필요하다고 입을 모은다. 정부에서도 스마트 안심국가 실현을 위한 ‘사물인터넷 정보보호 로드맵’을 수립하여 추진 중이다. 이 모든 것이 비용을 수반하는 것이지만 사물인터넷의 성공을 위해서는 꼭 필요한 비용이다.
　


물리적 보안과 함께 개인정보를 지키기도 더욱 어려워진다. 이제는 고객이 어디에 있는지, 언제 무엇을 샀는지, 어떤 음식을 좋아하는지 이런 정보까지 긁어모아 비즈니스를 만든다. 나의 모든 정보가 어딘가에 저장되는 사물인터넷 시대에 개인의 정보는 개인만의 것이 아닐 수도 있다. 미국의 프리즘 프로젝트와 같이 정부가 IT 기업의 서버를 뒤지는 일도 벌어지고 있다. 온 세상 정보가 모이는 구글의 에릭 슈미트 회장은 “만일 누구에게도 알리고 싶지 않은 것이 있다면, 인터넷에 올려서는 안 된다”고 말한다. 접속되어 있는 것은 노출이 불가피하다. 미국 연방거래위원회 의장인 에디스 라미레즈는 2015년 CES 기조연설에서 “사물인터넷이 IT 업계를 휩쓸고 있을지는 몰라도 소비자 신뢰는 제대로 구축하지 못하고 있다”고 일침을 가했다. 아무리 좋은 기술이나 서비스도 사용자의 안전과 프라이버시가 보장되지 않는다면 시장에 발붙이기 어렵다. 사물인터넷이 해결해야 할 또 하나의 숙제다.
　김지연 삼성전자 자문역 jyk9088@gmail.com