떠오르는 사물인터넷? 보안먼저 해결해야

2015.08.28 18:14

정보통신산업진흥원은 지난해 발표한 보고서에서 세계 사물인터넷(IoT, Internet Of Thing) 시장이 2020년에는 약 1400조 원 규모로 성장할 것이라고 전망했다. 성장률이 연평균 21.8%에 달할 정도로, 어마어마한 규모다. 그런데 한국인터넷진흥원(KISA)은 사물인터넷 해킹으로 인한 경제적 피해를 18조 원 정도로 예상했다. 자연재해 2.7조 원, 사이버공격 피해 3.6조 원에 비하면 엄청난 손실이다.

 


사물인터넷의 보안이 뚫리면 어떤 일이 일어나기에 18조 원에 달하는 경제적 손실을 전망하는 걸까. 사물인터넷이 해킹 당한 사례를 가상으로 상상해봤다. 놀랍게도 둘 중 하나는 실제로 일어났던 일이다. 한번 맞춰보자.

 

 

미국 텍사스주 교통표지판에 실시간 교통 상황 대신 ‘좀비가 앞에 있다’라는 문구가 띄워져 있었다. - i-hacked.com 제공
미국 텍사스주 교통표지판에 실시간 교통 상황 대신 ‘좀비가 앞에 있다’라는 문구가 띄워져 있었다. - i-hacked.com 제공

● File.1 뉴욕의 길을 막아버린 교통표시시스템

미국 텍사스주에서는 2009년, 2012년 두 차례나 교통표시판의 센서가 해킹을 당했던 사례가 있었다. 2009년엔 교통표시판에 실시간 교통 상황 대신 ‘좀비가 앞에 있다’라는 말이 띄워져 있었다.

 

이 때만 해도 귀여운 장난으로 보였지만, 그로부터 3년 뒤 텍사스와 같은 교통제어 시스템을 사용하는 뉴욕에서 더 큰 사건이 벌어졌다.

 

모두가 바쁜 뉴욕의 아침 출근 시간, 누군가 교통표시판을 해킹해 혼잡한 도로는 한적한 도로로, 한적한 도로는 혼잡한 도로로 정보를 바꿔놓은 것이다. 잘못된 정보로 뉴욕의 주요 도로들이 마비됐고, 약 50만 명의 노동자들이 출근시간을 놓쳤다.

 

이 타격으로 세계최대규모의 뉴욕증권 거래소마저 일시적으로 거래가 중단됐다. 이후 보안 전문가들은 교통제어시스템에 좀 더 강도 높은 보안기술을 적용해야 한다고 주장했지만, 미국 국토안보부는 신호등에 부착된 센서에 암호화가 적용돼 있어 보안에 문제가 없다고 밝혔고, 최근까지도 논란이 되고 있다.

 

● File.2 고급승용차 훔치는 데 3분이면 OK?


“탁탁 타닥. 부웅~.” 이것은 놀랍게도 절도범들이 차의 네트워크 시스템을 해킹해 차를 훔쳐가는 소리다. 2012년, 영국의 한 골목에서 찍힌 CCTV가 유튜브에 올라왔다. 해당 영상에는 3~4명 가량의 절도범들이 차 근처에서 몇 번 움직이더니, 도난 방지 울림도 없이 고요히 차 문을 열어 도주하는 장면이 포착됐다. 3분만에 일어난 일이었다.

 

절도된 차량은 BMW의 신형 커넥티드 자동차로, 차량자가진단시스템(OBD)이 설치돼 있었다. OBD는 차량의 엔진을 포함한 여러 부분을 확인하고 진단하는 시스템으로, 스마트폰을 이용해 실시간으로 차량의 상태를 확인하는 것이 목적이다. 하지만 이런 통신망이 오히려 해킹의 길을 열어줬다. 절도범은 OBD를 해킹해 스마트키를 복제한 뒤 복제한 키로 차 문을 열었다.

어떤 사례가 실제로 일어난 일일까? 정답을 알고 싶다면? - (주)동아사이언스 제공
어떤 사례가 실제로 일어난 일일까? 정답을 알고 싶다면? - (주)동아사이언스 제공

오른쪽 하단의 QR코드에 연결된 영상에 정답이 숨어있다. 정답은 2번이다. 2번처럼 도난 당한 고급차가 유럽에서만 300여 대에 달한다. 심지어 전문 해커들만 할 수 있는 것도 아니다.

 

유튜브엔 BMW의 스마트키 복사방법을 안내하는 동영상이 버젓이 공개돼 있다. 1번의 경우, ‘좀비가 앞에 있다’라는 전광판을 띄운 것까지는 실제로 일어난 일이다.

 

교통정보를 바꿔 치기 한 시나리오가 가짜인데, 많은 전문가들은 실제로 일어날 수 있다고 경고하고 있다(참고로 보안 전문가들이 의견을 발표한 것과 미국 국토안보부의 해명은 실제로 있던 일이다).

 

 

아르헨티나의 보안전문가 세자르 세루도(왼쪽사진)는 교통제어 시스템을 해킹하면 교통표시판에 내장된 센서에 거짓정보를 전달할 수 있다고 밝혔다. - cesar cerrudo 제공
아르헨티나의 보안전문가 세자르 세루도(왼쪽사진)는 교통제어 시스템을 해킹하면 교통표시판에 내장된 센서에 거짓정보를 전달할 수 있다고 밝혔다. - cesar cerrudo 제공

● 누릴 것도 많고 잃을 것도 많은 IoT시장

 

사물인터넷은 이동통신망을 이용해 이뤄지는 사람과 사물, 사물과 사물 간 지능통신을 통칭하는 말이다. 여기서 말하는 사물은 말 그대로 모든 사물이 될 수 있다. 예를 들어 사물인터넷 ‘냉장고’는 내장된 센서로 냉장고 안 음식 상태를 확인할 수 있다. 만약 매일 아침 먹는 요구르트가 다 떨어졌으면, 알아서 ‘OO몰’에 요구르트를 주문한다.


이런 게 가능하려면 여러 기술과 사업자가 필요하다. 먼저 사물인터넷 단말기를 만드는 제조업자가 필요하다. 현재 휴대전화나 가전기기를 만드는 삼성, LG 등의 기업이 여기에 속한다. 그리고 이 기기들에게서 오는 정보를 종합해 전달하는 중간 다리, 플랫폼 사업자가 필요하다. SK텔레콤이나 KT, LG유플러스와 같은 통신사가 플랫폼 사업자가 될 확률이 높다. 마지막으로 사용자에게 서비스를 제공하는 서비스 제공자가 필요하다. 사물인터넷 서비스를 기획하는 스타트업 기업부터 대기업까지 다양한 기업이 속할 수 있다.

 

이처럼 사물인터넷 시장은 수많은 기업이 서로 힘을 합쳐야 활성화될 수 있다. 문제는 이 점이 사물인터넷의 보안을 약하게 만드는 주범이라는 사실이다. 사용자의 특정 정보가 외부로 유출됐을 때 어디서 구멍이 난 것인지 알 수가 없기 때문이다. PC나 모바일의 보안을 담당하는 건 보안전문업체와 ISP(인터넷 서비스 제공자), 그리고 이용자다. 네트워크 상의 보안을 담당하는 건 ISP, PC의 안전을 지키는 건 이용자 혹은 안랩과 같은 보안 전문업체다. 이 셋만 보안을 확실히 하면 된다.

 

하지만 사물인터넷은 보안을 책임질 사람이 너무 많다. 앞서 설명한 커넥티드 자동차를 예로 들어보자. 발전된 커넥티드 자동차는 사고다발지역이나 급회전이 필요한 구간을 지나갈 때 위험한 지역이라는 정보를 받아, 스스로 속도를 줄이게 설정돼 있다.

 

그런데 누군가 차에 전달되는 정보를 조작해 사고다발지역이 아닌 곳에서 속도를 줄여 사고가 발생했다. 이런 경우, 정보가 빠져나간 경로가 기기(자동차)인지 아니면 네트워크인지, 플랫폼인지, 서비스인지 알 수가 없다. 그만큼 정보가 빠져나갈 수 있는 구멍이 많기 때문에 너나 할 것 없이 보안기능을 제공해야 한다.

 

하지만 기기제조업체들이 보안기능을 제공하는 데에는 한계가 있다. 산업연구원이 2014년 발표한 ‘2020년 사물인터넷 연결 기기 전망’에 따르면 사물인터넷에 이용될 기기는 가전제품이 36%로 가장 많은 비율을 차지한다. PC나 모바일에 비해 상대적으로 저전력, 저성능 기기다. 연산능력이 제한적일 수밖에 없다. 현재 가장 널리 쓰이고 있는 복잡한 암호화 알고리듬인 RSA알고리듬이나 AES알고리듬을 사용하기엔 무리가 있다(과학동아 6월호 참고).

 

 

떠오르는 사물인터넷? 보안먼저 해결해야 - GIB 제공
떠오르는 사물인터넷? 보안먼저 해결해야 - GIB 제공

● 사물인터넷 환경, 저전력 암호 알고리듬 필요해


이런 이유로 사물인터넷 기기에 적합한 저전력(초경량) 암호화 연구가 많이 진행되고 있다. 주로 언급되는 암호 알고리듬은 ‘프린스(PRINCE)’다. 프린스는 2012년 세계적인 암호작성술 컨퍼런스인 ‘아시아크립트(Asiacrypt)’에서 덴마크공대 줄리아 보그호프 연구원이 제안했다.

 

암호 알고리듬은 기본적으로 암호화와 복호화의 과정을 거친다. 특정 메시지를 수식을 통해 변환하는 것이 암호화, 역으로 암호를 푸는 과정을 복호화라고 한다. 프린스는 복호화 과정이 매우 간단해, 하드웨어가 크게 필요하지 않다. 때문에 프린스를 이용하면 다른 암호에 비해 10배 이상 작은 칩을 사용할 수 있고, 전력은 80배 가량 덜 소비된다.

 

또 하나의 해법은 ‘부분암호화(Partial encryption)’다. 단어 뜻 그대로 메시지 중 일부만 암호화하는 기법이다. 기본적인 원리는 RSA 혹은 AES 알고리듬을 따라가되, 전체의 20~30%정도만 암호화한다. 암호화된 비율 등의 정보는 암호화된 파일의 헤더(데이터 파일의 정보가 보관돼 있는 부분)에 첨부된다.

 

하지만 두 방법 모두 RSA알고리듬에 비해 안정성이 떨어진다는 지적이 있다. 이에 대해 백종현 한국인터넷진흥원 융합보안산업팀장은 “모든 사물인터넷 기기에 높은 안정성이 필요한 것은 아니다”라며 “모든 기기가 높은 안정성을 갖추려면 기기단가가 너무 높아지는데, 이는 사물인터넷 시장의 활성화를 되려 막을 수 있다”고 말했다. 즉, 정보보호에도 선택과 집중이 필요하다는 의미다. 백 팀장은 “아직 사물인터넷 시장이 초기 단계라 보안을 철저히 할 기기나 서비스를 선별하기엔 이른 감이 있다”며 “우선 사물인터넷 시장이 커질 필요가 있다”고 말했다.

 

미래창조과학부와 한국인터넷진흥원은 지난 6월, ‘사물인터넷 보안 얼라이언스 발대식’에서 사물인터넷 사업자들이 지켜야 할 공통보안 7대 원칙을 발표했다. ‘정보보호를 위해 사물인터넷 제품 및 서비스를 설계해야 한다’, ’안전한 소프트웨어 및 하드웨어를 개발하기 위해 시큐어(보안) 코딩 가이드를 활용해 보안 품질검증을 수행해야 한다’와 같은 내용이 포함돼 있다.

 

내년 초엔 서비스별로 상세화된 보안 원칙을 발표할 예정이다. 강제성이 있는 규제가 아닌, 가이드 라인이다. 강제성이 없어도 기업들이 많이 따르냐고 묻자 백 팀장은 “현재로서는 많은 기업이 따라주기를 바랄 뿐”이라며 말을 아꼈다.

 

성큼 다가온 사물인터넷 시대, 보안 대책의 발걸음은 아직 더디다. 김호원 부산대 정보컴퓨터공학부 교수는 “기본적인 보안에 대한 문제가 해결되지 않는다면 사물인터넷 활성화는 어려울 것”이라고 전망했다.

 

 

※ 더 많은 과학기사를 2015년 9월호 과학동아에서 만나보세요.

메일로 더 많은 기사를 받아보세요!

댓글 0

작성하기

    의견쓰기 폼
    0/150
    * 21대 국회의원 선거운동 기간에는 실명확인 과정을 거쳐야 댓글을 게시하실수 있습니다.
    * 실명 확인 및 실명 등록 서비스는 선거운동기간 (2020. 4. 2 ~ 2020. 4. 14) 동안에만 제공됩니다.