FBI는 최근 IoT(Internet of Things) 디바이스가 해커들에게 매우 매력적인 표적이 되고 있다고 경고했다. 이와는 별도로 최근 이뤄진 한 시장 조사에 따르면 많은 소비자들이 IoT 디바이스로 분류할 수 있는 다양한 종류의 디바이스를 보유하고 있음에도 불구하고 극히 소수의 소비자만이 IoT의 성격을 제대로 이해하고 있다는 결과가 나왔다. 이런 이해도의 차이는 IoT의 보안 문제와 관련된 고르디우스의 매듭을 풀기 위해 단지 기술적인 부분에서의 접근만으로는 해결할 수 없는 부분이 많다는 것을 보여준다.
IoT 디바이스는 더욱 정교해지고 있는 악의적인 해커 커뮤니티에 의해 완전히 포위된 우리의 연결 사회에서 매우 접근하기 용이한 보안 구멍으로 자리잡고 있다. 더구나 보안이 취약한 IoT 기기로 인한 위협은 더욱 큰 위협이 될 수 있다. FBI는 IoT 디바이스가 일반적으로 해킹에 취약한 인증이나 패치되지 않은 펌웨어를 이용하거나, 기본 사용자 이름과 암호를 이용해 공격할 수 있기 때문에 보안에 많이 취약하다고 경고한다. 일단 공격에 당한 IoT 디바이스는 불법적인 인터넷 활동을 감추고 합법적인 사이트를 조용히 탐색하는 프록시 역할을 하거나, 거대한 봇넷 그룹을 형성해 특정 사이트를 공격하는 용도로 활용될 수 있다.
FBI는 사용자가 해킹된 IoT 디바이스를 탐지하기 어려울 수 있다고 경고하면서, 사용자가 직접 인터넷 성능이나 사용 추세를 지켜보면서 문제의 징후가 있는지 살피는 것이 좋다고 말한다. 또한 FBI는 소비자가 디바이스를 자주 재부팅하고, 암호를 변경하며, 펌웨어를 최신으로 업데이트하고, 방화벽을 점검하며, IoT 디바이스를 격리할 것으로 제안하고 있다.
물론 이런 권고가 합리적이기는 하지만, 많은 사용자들이 IoT 디바이스나 방화벽, 네트워크를 구성해 보안을 강화할 수 있는 의지와 기술을 갖고 있다는 것은 상상하기 어렵다. 숙련된 엔지니어조차 보안에 많은 신경을 쓰지 않은 모델이나 사용자 인터페이스가 있는 디바이스에서 발생하는 문제를 거의 파악하지 못하고 있다. 이런 기술적인 문제가 아니라고 하더라도 더욱 기초적인 문제가 남아있다. 만약 대부분의 IoT 디바이스 사용자들이 IoT를 인식하지 못하고 있다면, 이런 제안은 아무런 의미를 갖지 못한다는 것이다.
Arm이 지난해 발표한 보안 선언문에서 "기술 제공업체는 공급자와 사용자간에 암묵적으로 존재하는 사회적 계약을 포용해야 한다"고 지적했다. 원칙적으로 이는 옳은 말이다. 사용자가 더 많은 책임을 져야 한다는 것은 의심의 여지가 없으며, 개발자는 디바이스의 내제적인 문제나 방치로 인한 문제로부터 사용자를 보호하기 위한 조치를 취해야 한다. 개발자는 점점 더 많은 수의 MCU와 메모리, 전용 디바이스에 내장된 보안 메커니즘을 사용해 효과적인 보호를 적용해야만 한다.
그럼에도 불구하고 이런 사회적 계약의 책임은 기술에 국한되지 않는다. 제조업체는 온도조절기나 도어록, 비디오 카메라, 기타 스마트 디바이스가 사이버 범죄자들에게 먹음직스러운 먹이가 되는지 고객들을 이해시켜야 한다. FBI는 이런 종류의 예방조치를 취하지 않는 것은 문을 활짝 열고, 자동차 열쇠를 꼽아둔 채로 좌석에 돈 더미를 쌓아 놓은 채 차를 운전하는 것과 같다고 말한다. 많은 경우 가장 확실한 문제 해결의 출발점은 문제가 있다는 것을 깨닫는 것에 있다.
Written by 스테판 에반크주크(Stephen Evanczuk) & Provided by 마우저 일렉트로닉스 (Mouser Electronics)
[편집자 주] 본 기사는 글로벌 전자부품 유통회사인 마우저 일렉트로닉스(Mouser Electronics)의 후원을 바탕으로 진행되는 EPNC의 단독 외부 기고입니다.
그래도 삭제하시겠습니까?