사물인터넷(IoT) 보안에 대한 소비자 불안감이 날로 높아지고 있다.
인터넷에 연결된 가전제품이 외부로부터 해킹돼 집안 도·감청과 개인정보 약탈이 이뤄지진 사례가 외국에서 심심찮게 들려오기 때문이다. 심지어 이를 활용한 디도스공격에 대한 우려의 목소리도 높아지고 있다.
최근 폭로 전문 웹사이트 위키리스크는 미국 CIA가 삼성, 구글, 애플 등의 스마트기기를 조정해 도·감청 도구로 사용했다고 폭로했다.
포브스 보도에 따르면 이 가운데 삼성전자의 스마트TV는 2014년 CIA가 영국 MI5와 함께 개발한 것으로 보이는 TV 악성코드 '우는 천사(Weeping Angel)'에 의해 해킹된 것으로 전해졌다.
이 악성코드는 TV에서 정상적인 TV 애플리케이션처럼 작동하면서도 백그라운드에서 음성만 포착한다. 또 TV에 저장된 와이파이 비밀번호를 복구하는 방식으로 WIFI 사용자 이름과 비밀번호를 해킹한 것으로 전해졌다.
CIA는 또 '위장 전원 꺼짐'으로 명명한 기술도 활용해 TV가 꺼져있을 때도 주변의 소리를 도청하고 녹음된 것으로 알려졌다.
일본 경찰청은 IoT 가전제품을 노렸다고 보이는 사이버공격이 2016년 12월 어드레스 1개당 하루 평균 1692회가 발생했다고 파악했다. 경향을 알아보려는 표본추출조사이긴 하지만 1월의 7.4배나 됐다.
정보보안기업 트렌드마이크로에 따르면 바이러스에 감염된 TV는 화면이 움직이지 않고, 화면에 금전을 요구하는 메시지가 표시된다.
개인정보 약탈뿐 아니라 IoT 가전을 활용한 범죄행위 역시 우려된다. 해당 제품들을 악용해 특정 사이트에 대규모 접속을 유도, 마비시키는 '디도스 공격'에 악용될 수 있기 때문이다.
한국인터넷진흥원 사이버침해대응본부 전길수 본부장은 "IoT 기기는 크기가 작고 성능이 떨어질 뿐 운영체제를 갖춘 일종의 PC"라며 "수많은 IoT 장치를 악성 코드로 감염시켜 결집하면 종전의 PC 디도스 수법과 비슷한 효과를 낼 수 있다"고 설명했다.
이 같은 추세에 국내에서도 정부, 지자체는 관련 전문가를 양성하며 대책 마련에 나서고 있다.
고용노동부는 '4차 산업혁명 선도인력 양성사업'에 참여할 민간훈련기관을 선정하고 사물인터넷, 정보보안 등 4개 분야의 훈련과정을 도입했다. 경기도도 2020년까지 4차산업 정보보안 전문가 600명을 양성할 예정이다.
한국인터넷진흥원 관계자는 "2017년에는 더욱 다양한 IoT 기기가 선보일 예정"이라며 "기존 IoT 기기들도 기능이 고도화됨에 따라 IoT 기기에 설치된 소프트웨어에 대한 다양한 보안 취약점이 발견될 것"이라고 경고했다.
또 "사용자는 IoT 제품 설치 시 제품 및 서비스 구매 시 보안사항을 충분히 고려해 구매해야 하고, 업체 역시 제품 보안취약점을 발견 시 사후조치 방안을 마련하는 동시에 이를 사용자에게 공개해야 한다"고 당부했다.
[신아일보] 신민우 기자 ronofsmw@shinailbo.co.kr
