인공지능(AI) 스피커 등 네트워크에 연결해 쓰는 사물인터넷(IoT) 기기가 확산되고 있다. 동시에 이런 IoT 기기가 보안을 위협하는 통로가 될 수 있다는 우려도 제기된다.
한국인터넷진흥원(KISA)이 운영하는 IoT 취약점 점검 서비스는 IoT 기기에 대해 인터넷 내·외부에 존재할 수 있는 보안 취약점을 파악해준다. 현행법 상 사용자 동의 없이 네트워크 기기에 접근하는 것은 금지돼 있어 신청이 들어온 기기에 대해서만 서비스를 제공한다.
그러나 IoT 기기들이 악성코드에 감염돼 IP카메라가 해킹되고, 대규모 분산서비스거부공격(DDoS)에 동원되는 등의 피해가 발생하는 상황에서 정부는 전체 IoT 기기에 대한 일괄적인 보안 점검도 고민하고 있다.
지난 25일 지승구 KISA 융합보안지원팀장은 IoT 취약점 점검 서비스 운영 현황에 대해 소개했다.
IoT 취약점 점검 서비스에서는 국내외 공개돼 있는 취약점 정보를 수집하고 데이터베이스(DB)로 구축해 이를 토대로 점검을 실시한다.
다만 발견된 취약점들을 모은 DB를 토대로 점검을 실시하는 만큼, 이전까지 알려지지 않은 취약점인 제로데이는 탐지할 수 없다는 게 서비스의 한계점이다.
지승구 팀장은 IoT 검색 엔진 '쇼단'와 비교해 이 서비스를 설명했다. 쇼단은 인터넷에 연결된 모든 기기 정보를 무단으로 수집한다. 기기 자체 취약점, 소프트웨어 상의 취약점이 발견됐지만 업데이트가 안 된 펌웨어, 미흡한 접근제어 조치 등이 정보가 무단 수집되는 원인이다. 쇼단에서는 특정 IP나 국가 등 일정한 특정을 지닌 IoT 기기를 검색할 수 있고, 그 기기의 취약점 정보도 볼 수 있다. 이런 특성 때문에 해커들이 공격 대상을 탐색할 때 주로 이용된다.
KISA가 제공하는 IoT 취약점 점검 서비스는 사전에 동의를 받은 기업 또는 개인을 대상으로만 기기를 스캔한다는 점에서 쇼단과 차이가 있다. 이용자의 사전 동의 없이 IoT 기기를 스캔하는 것은 위법 소지가 있기 때문이다. 정보통신망법 48조는 정당한 접근 권한 없이, 또는 허용된 접근 권한을 넘어 정보통신망에 침입하는 것을 금지하고 있다.
그러나 IoT 기기의 보안 위협이 점차 중요한 문제로 떠오르고 있는 만큼, KISA는 한시적으로라도 네트워크에 연결돼 있는 전체 기기를 스캔하는 등의 대책을 시행할 수 있도록 법제 개선을 고민하고 있다.
관련기사
- "IoT 보안, 정부 지침만 기다리면 안 된다"2019.10.27
- 거대 IoT 봇넷 방조한 호스팅사업자, 네덜란드 경찰에 잡혀2019.10.27
- "허술한 IoT 보안, 사이버 위협을 현실 위험으로"2019.10.27
- IoT 보안 이슈, 공공 서비스로 예방하세요2019.10.27
지승구 팀장은 "법적으로 임의 점검이 금지돼 있는 한국과 달리 일본은 지난해 11월 IoT 취약점 점검 목적의 기기 접근을 5년간 허용하는 법을 시행했다"며 "KISA는 과학기술정보통신부와 태스크포스를 만들어 정보통신망법 관련 중장기적인 방안을 수립 중"이라고 밝혔다.
이 서비스는 지난 1일 정식으로 제공되기 시작했다. 지금까지 총 8건의 신청이 접수됐다. KISA는 다음 주부터 신청자에 대해 네트워크, 기기 정보 등을 검토하는 과정을 거친 뒤 점검을 실시할 예정이다.