"허술한 IoT 보안, 사이버 위협을 현실 위험으로"

게리 데이비스 맥아피 컨슈머 보안 에반젤리스트 인터뷰

컴퓨팅입력 :2019/09/24 15:09

"앞으로는 해커들이 사물인터넷(IoT) 장비에 랜섬웨어 등 사이버 공격을 집중할 것입니다. 자동차를 타고 출근하던 도중, 해커에게 금전을 지불하지 않으면 차량이 한 발짝도 움직이지 않게 되는 시나리오도 현재 실현 가능한 내용입니다. 카지노 내 수족관에 있는 IoT 온도계를 통해 고액을 베팅하는 사람들의 정보를 탈취해간 사례도 존재합니다."

글로벌 사이버보안 업체 맥아피의 게리 데이비스 컨슈머 보안 에반젤리스트는 24일 기자들과 만난 자리에서 IoT 보안의 중요성을 강조하면서 이같이 말했다.

그는 IoT 기기 사용이 늘어남에 따라 공격 표면이 급격히 확장되고 있다고 강조했다. 현재 120억여개의 IoT 기기가 전세계에서 사용되고 있으며, 매 분마다 4천800개의 기기가 인터넷에 연결되고 있다는 분석이다.

사용자들이 상대적으로 IoT의 편의성을 쉽게 인지하는 반면에 보안에 대한 문제 의식은 심각하게 느끼지 않는 점을 우려했다.

IoT 기기는 일반적으로 PC, 스마트폰 등에 비해 하드웨어 사양이 낮아 보안 소프트웨어(SW)를 탑재하기 어려운 경우가 많다. 뿐만 아니라 사용자가 기기에 기본적으로 설정된 계정 아이디와 패스워드를 변경하지 않고 사용하는 경우가 많아 이를 악용하는 해커 공격에 노출되기 쉽다.

제조사들이 보안 조치를 충분히 하지 않는 점도 문제다. 그는 HP의 조사 결과를 인용, 홈 IoT 기기 중 상위 10개 제품에서 최소 취약점이 25개씩 존재했다고 언급했다. 펌웨어 업데이트 등의 노력도 제대로 기울이지 않고 있다고 봤다.

실제 맥아피에서 디지털 비디오 레코더(DVR)를 이용해 실험한 결과, 기기를 인터넷에 연결한지 54초만에 맬웨어 설치가 이뤄졌다고 밝혔다. IoT 기기는 전원을 켜면 네트워크를 검색, 자동 연결되도록 설정돼 있다. 바꿔 말하면 기기 사용과 동시에 인터넷에 노출되는 셈이다.

IoT 기기가 취약한 보안을 지녔지만, 활용 범위는 가정, 기업 등 지속적으로 넓어지고 있다. 사용하는 여러 IoT 기기 중 하나가 해킹된다면 해커가 이를 중요 데이터까지 접근하는 수단으로 이용할 수도 있다.

IoT 기기는 스마트폰 기반 제어 기능을 제공하는 경우가 많다. 게리 데이비스 맥아피 에반젤리스트는 최근엔 한국 사용자를 노린 스파이웨어 앱 '모크하오(MoqHao)'를 언급, 관련 보안 위협을 설명했다. 해당 앱은 구글 플레이 스토어에 보안 SW 앱인 것처럼 위장해 등록돼 있었다. 실제로는 사용자의 스마트폰 사용 내역을 수집했다. 향후 IoT 기기 보급이 확산되면 스마트폰 해킹 피해 범위가 더 늘어날 수도 있다.

다음은 게리 데이비스 맥아피 에반젤리스트와의 일문일답.

게리 데이비스 맥아피 컨슈머 보안 에반젤리스트

- 맥아피는 보안이 취약한 IoT 기기에 대해 어떻게 대처하고 있나

"IoT 기기는 대부분 메모리나 연산 능력이 충분치 않아 (보안)SW를 탑재하기가 매우 어렵다. 다만 맥아피는 삼성과 좋은 협력 관계를 맺고 있기 때문에 스마트폰, TV에 탑재하는 경우가 있다.

기기 대신, 플랫폼이라 부를 수 있는 라우터에 집중하고 있다. 인터넷에 연결되는 지점이기 때문에 트래픽을 관측해 악성 여부를 판별하고, 악성이면 기기에서 조치할 수 있도록 하고 있다.

사용자로서, 개인적으로는 패스워드 매니저 프로그램을 사용하고 있다. 350여개 계정이 등록돼 있다. 자동으로 비밀번호를 생성해서 입력되도록 하고 있다. 웹, 앱을 사용할 때 필요한 수백 개의 계정 정보를 다 기억할 수 없으니 항시 사용하고 있다."

- 모크하오는 언제 발견됐나. 사용자에게 어떤 피해를 가져왔나

"맥아피는 지난 8월 관련 보고서를 발표했다. 해당 앱은 구글 플레이 스토어에 보안 SW인 것처럼, 사용할 경우 악성코드로부터 보호받을 수 잇는 것처럼 소개돼 있었다. 때문에 사용자들이 기기 보호 차원에서 해당 앱을 내려받았다. 스파이웨어였기 때문에, 통화 내역을 모니터링하거나 위치정보를 추적하는 등의 기능을 수행했다. 악성 앱이 설치된 것을 알지 못하는 사이에 기기로 무엇을 하는지 다 추적되는 피해가 발생했다.

추가로, 구글 플레이 스토어에 등록된 앱 중 4개가 악성 앱이었다는 발표가 지난 주 있었다. 50만명이 이 앱들을 내려받은 것으로 파악됐다."

- IoT 보안을 강화하기 위해, 정부기관이 검수하는 방식에 대해선 어떻게 생각하나

"이에 대해 많은 고민을 했다. 과도한 규제에 대해서는 주의를 기울여야 한다. 혁신을 가로막을 수도 있기 때문이다.

다행히 업계에서 혁신의 모멘텀이 나타나고 있다. 반도체 제조사들의 경우 장비의 안전성을 확인할 수 있는 단일 프레임워크가 등장하는 상황이다.

또 에너지 효율 등급처럼, IoT 기기의 보안 수준에 대해 소비자가 알 수 있도록 하는 제도 도입이 글로벌 지역에서 추진되고 있다. 다만 이런 노력은 모든 제조사, 모든 국가가 참여해야 유효할 것이다."

- 발표에서, 기업 의사결정권자 중 74% 가량이 IoT 기기에 대해 보안 문제가 있다고 봤지만, IoT 보안 조치를 제대로 취하지 않은 기업이 80% 이상이었다. 문제를 파악하고 있음에도 대처가 이뤄지지 않는 간극이 발생한 이유를 무엇이라고 보나

관련기사

"IoT 기기들이 매우 빠르게 도입되고 있다는 점이 원인 같다. IoT 기기들의 장점은 이해하기 쉽지만, 이를 잘 보호할 수 있는 방안에 대해선 파악이 느리다. 그래서 격차가 발생하는 것 같다. 앞서 언급한 카지노 해킹 사례 같은 경우도 마찬가지다. 수족관 내 온도계 설치로 인한 장점은 명확하지만, 사이버공격이 늘어날 여지에 대해서는 제대로 고려하지 못한 것이다.

이런 문제는 앞으로 더 심각해질 것이다. 사이버 보안 관련 인력 수요는 계속 늘어나는 반면, 교육 및 인력 배출 속도가 그에 충분하게 빨라지지 않고 있기 때문이다. 앞으로 300만개의 사이버보안 일자리가 빈 자리가 될 것으로 전망하고 있다."