아직은 얻을 수 있는 편의 대비 잠재적 위험 요소가 적지 않다

[테크월드=이건한 기자] PC나 스마트폰을 비롯해 주변 모든 사물이 인터넷으로 연결되는 사물인터넷(IoT) 세상에서 우리는 다양한 편의를 제공받고 있다. 특히 집과 거주자가 유기적으로 상호작용하는 스마트홈은 일상 속 IoT의 결정체라 할만하다. 하지만 빠르게 진화하는 스마트홈 기술·환경과 비교해 일반 사용자의 보안 의식은 크게 나아지지 않고 있는 형편이다.

스마트홈 해킹 유형

스마트홈에 대해 조금이나마 이해하는 사람이라면 스마트홈이 언제든 외부 해킹에 노출될 수 있다는 사실 정도는 알 것이다. 그러나 실제 해킹된 스마트홈을 통해 어떤 일들이 발생할 수 있는가에 대해선 다소 막연한 반응을 보이는 경우가 많다. 주변에 물어봐도 돌아오는 대답은 대부분 ‘가정용 웹캠, CCTV 해킹에 의한 사생활 노출’ 정도를 크게 벗어나지 못하는 수준이다.

물론 홈 CCTV 노출 역시 심각한 사생활 침해 유형으로 분류되지만, 요즘 스마트홈에서는 잠재적으로 그보다 훨씬 큰 보안 위협들도 함께 도사리고 있다는 사실을 알 필요가 있다. 

 

눈에 봬는 것 없는 스마트 도어락

도어락은 주인 아닌 사람이 함부로 집에 들어오는 것을 막는 최후의 문지기다. 그런데 도어락이 아무에게나 문을 열어주게 되면 어떤 일이 벌어질까? 아마 상상도 하기 싫은 일들이 벌어질 것이다. 그런데 이런 상황은 지금도 충분히 현실이 될 수 있다. 무선 네트워크 보안기업 노르마는 지난 2019년 실내 월패드(스마트홈 가전제어 장치-인터폰과 유사한 벽걸이형 기기)와 연동된 스마트도어락이 간단한 해킹으로 허무하게 뚫리는 과정을 시연했다.

방식은 간단하다. 문이 열릴 때 월패드가 발생시키는 무선신호를 시중에서 쉽게 구할 수 있는 연구용 송수신기로 가로챈 후, 이를 그대로 복사해 도어락으로 보내면 그 순간 문이 열리는 것이다. 일종의 신호 재전송 공격이다. 마치 눈에 보이지 않는 키를 해커가 복사해 열고 들어오는 것과 같다. 이는 가정용 스마트홈 시스템이 외부로 발산되는 전파에 대한 최소한의 무선 보안 체계도 갖추지 않은 경우 발생할 수 있는 일이다. 

도어락 해킹을 시연하는 장면 (출처=노르마)

수천 세대 아파트 해킹, 작은 월패드로부터

아예 월패드를 해킹하면 어떨까? 그 대가는 막대하다. 자체 디스플레이를 탑재하고 실내 중심에 설치되는 고정형 월패드는 스마트홈을 제어하는 허브(Hub)로써 최적의 조건을 갖춘 기기다. 그만큼 요즘은 이 월패드를 통해 다양한 실내 기능을 원격으로 제어할 수 있는 기능을 제공하는 스마트 아파트가 적지 않은 편이다.

그러나 작년 초 MBC가 보도한 내용에 따르면 3000세대가 입주한 부산의 한 스마트 아파트를 점검한 결과, 한 가정의 월패드를 해킹하자 해커가 곧장 아파트 단지 전체를 통제하는 관리실 메인 서버에 침투할 수 있는 허점이 드러난 바 있다. 문제는 이 경우 한 집이 아니라 단지 내 모든 세대가 해커의 손에 놀아나게 된다는 점이다.

때론 ‘해킹패드’가 될 수 있는 월패드

상황은 심각하다. 세대별 현관문이 해커에 의해 자유롭게 열리고, 가전의 작동을 제어하거나 월패드에 내장된 카메라로 실내를 몰래 촬영하는 것도 가능해진다. 사실상 실내외 모든 방범 체계가 무너지는 것이다.

가관인 것은 보도 당시 가명처리 된 건설사 담당자의 대답이다. 그는 “소비자들은 솔직히 보안에 대해 잘 모르고, 정부에서도 관심이 없기 때문에 건설사 입장에서도 굳이 보안을 강화할 필요를 느끼지 못한다”고 말한다. 또 상황이 이렇다 보니 어떤 아파트에서는 고작 중학생밖에 되지 않은 아이가 월패드를 해킹해 단지 전체의 전기 사용량을 제로로 만들어 버린 사례도 보고된 기록이 있다.

 

똑똑한 AI 스피커? 

요즘 많은 이들이 집에 크고 작은 AI 스피커를 두고 있다. 이들 스피커는 음성명령을 통해 음악감상, 일기예보, 검색 같은 여러 편의 기능을 이용할 수 있음은 물론이고, 일부 스피커는 실내 가전이나 외부에 주차된 차량과 연결되는 커넥티드 허브로 활용되기도 한다.

하지만 AI 스피커도 해킹 측면에서는 꽤 취약한 기기다. 이들 제품은 대개 별다른 인증 없이 호출명과 음성명령만으로 작동하는 경우가 많은데, 이점을 노려 2018년 미국 UC버클리대 연구팀에서는 사람 귀에 들리지 않는 비가청대역 음향을 악용하면 AI 스피커 해킹도 충분히 가능하다는 사실을 증명해냈다. 

UC버클리 연구에서는 아마존 알렉사, 애플 시리, 구글 어시스턴트 등이 실험대상에 포함됐다.

마치 돌고래의 언어처럼 사람에겐 들리지 않지만 기계는 감지할 수 있는 초고주파를 활용해 동영상, 음원 같은 콘텐츠에 미리 준비한 비가청대역 명령어를 심어 두면 사용자들이 눈치채지 못하는 사이 AI 스피커가 특정 기능을 수행하도록 만들 수 있다는 시나리오다. 조금 과장해 차량과 연결된 AI 스피커가 있고, 이 같은 공격 방법으로 스피커에게 ‘차 시동 걸어’ 같은 명령이 전달된다면, 나도 모르는 사이 차량을 도난당할지도 모르는 일이다. 

이 밖에 또 해외에서는 사람의 음성 신호처럼 인식될 수 있는 레이저에 명령어를 담아 발사하는 식으로 AI 스피커를 조작하는 해킹도 시연된 적이 있는데, 사실 이 정도까진 다소 황당하게 들리지만 어쨌든 핵심은 생각보다 쉽게 뚫리고 있는 스마트홈 기기들의 현재 보안 수준이다.

 

중요한 건 보안 의식, 실상은..

대부분 직접적 피해 당사자인 소비자들은 스마트홈이 주는 편의에 대해서만 알 뿐, 정작 위협요소에 대해서는 잘 알지 못한다. 스마트홈 보급이 점점 빨라지고 있는 것과 달리 정부와 제조사에서는 아직 스마트홈 보안과 관련된 대국민 홍보와 교육이 잘 이뤄지지 않고 있기 때문이다.

2017년부터 한국인터넷진흥원(KISA)이 사물인터넷 제품, 연동 모바일 앱에 대한 일정 수준의 보안성을 시험하는 ‘IoT 보안인증 서비스’를 시작하긴 했지만 법으로 강제되지 않아 아직도 인증을 받은 제품은 수십 개에 불과하다.

게다가 제품의 보안성 개선은 제조사 입장에서 곧 단가 상승으로 이어지며, 인증 과정이 지연될 경우 적합한 시장 출시 시기를 놓칠 우려도 따른다. 결국 도의적인 문제는 차치하고 법적 기준이 없는 상황에서 굳이 남들도 쓰지 않는 비용을 들여 보안을 강화할 필요를 느끼지 못하는 것이다.

소비자들의 안전불감증도 문제다. 작년 서울 강서구의 한 아파트는 해커에 의한 집단 해킹 사태가 벌어졌음에도 집값 하락을 우려해 주민들이 이를 쉬쉬했다는 사실이 드러나 논란을 빚었다. 결국 기업이나 소비자나 취약한 보안으로 인해 겪게 될 잠재적 리스크보단 당장 눈앞의 이익을 쫓는 마음이 가장 크다는 점이 스마트홈 시장의 보안 개선 속도를 느리게 하는 근본적인 원인이란 이야기다.

KISA IoT보안인증서비스 홍보물

꼭 필요하지 않다면, 아직은 조금 거리를 두는 것도 방법

이런 상황에서 우리가 근본적으로 해결할 수 있는 일을 많지 않다. 그저 단순하지만 효과적인 방법으로, 시장 내 IoT 기기들의 전반적인 보안 수준이 향상될 때까지 관련 제품 구입을 최대한 보류하는 것 정도가 있을 것이다. 

특히, 아예 시공단계부터 자체 스마트홈 플랫폼을 내재한 신축 아파트 등에 입주하는 경우라면 각별한 사전 주의가 요구된다. 반드시 입주해야 하는 상황이라면 이사 전 해당 아파트 브랜드와 관련된 스마트홈 해킹 사례가 없는지 확인하고, 실제 시스템 보안 관리는 어떤 체계로 이뤄지고 있는지 전문가를 통해 미리 알아보고 조치할 필요가 있다.

이 외에도 이미 입주한 뒤이거나, 현재 자신이 거주 중인 집 내에서 사용 중인 네트워크 기기의 보안 수준을 측정하고 싶다면 KISA가 제공하는 ‘IoT 취약점검’ 서비스를 받아보는 것도 한 방법이다. 무엇보다 정부 역시 지금과 같은 문제를 시장 자율에 맡길 게 아니라 정부 차원의 보다 강력한 보안성 강화 대책과 기업이 준수할 수 있는 법적 규제를 마련하는 것이 시급하다.

 

테크월드 - 월간<EMBEDDED> 5월호 中

이 기사를 공유합니다
저작권자 © 테크월드뉴스 무단전재 및 재배포 금지
이 기사와 관련된 기사