바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

프랑스 대규모 IoT 공격…한국도 대책 서둘러야

2016-11-11강진규 기자
9월 말 프랑스의 호스팅 서비스 업체인 OVH가 1Tbps에 달하는 분산서비스거부(DDoS) 공격을 받았다. 1Tbps는 초당 10억 비트에 해당하는 1Gbps의 1000배에 해당하는 규모로, 1초당 1조 비트가 전송됐다는 뜻이다. 전문가들은 사상 최대 규모의 공격에 놀라움을 금치 못했다.

그런데 더 놀라운 것은 이 공격이 사물인터넷(IoT)을 이용해 이뤄졌다는 점이다. 10월 초 한국인터넷진흥원(KISA)은 이 사건을 소개하면서 해커들이 보안에 취약한 IoT 기기를 이용해 봇넷을 형성한 후 DDoS 공격을 감행했다고 설명했다.

전통적인 DDoS 공격은 PC 등을 감염시킨 후 이를 이용해 데이터를 웹사이트나 시스템에 집중시켜 전산처리 능력을 넘어서도록 해 시스템을 마비시키는 방식이었다. 그런데 이번에는 PC가 아니라 IoT 기기를 이용해 공격이 이뤄진 것이다.

해커들은 CCTV, IP카메라, DVR 등 15만 대의 기기를 이용해 매초 각 기기별로 1~30메가바이트(MB) 크기의 패킷을 보내도록 했다. 이에 초당 1.5테라비트 규모의 공격이 이뤄진 것이다.

확산되는 IoT…커지는 보안 위협

지난해 말 시장조사업체 가트너는 전 세계 2015년 IoT 기기가 49억 개에서 2016년 64억 개, 그리고 2020년에는 208억 개로 급증할 것이라고 전망했다. 가트너에 따르면, 하루에 550만 개의 사물이 인터넷에 연결되고 있다.

실제로 지난 수년 사이 PC뿐 아니라 CCTV, 카메라는 물론, TV, 냉장고, 세탁기 등 각종 가전제품과 자동차 등에 IoT 기능이 녹아들고 있다. 전문가들은 앞으로 가능한 모든 기기가 IoT로 연결될 것으로 보고 있다. 이를 통해 스마트 홈, 스마트 시티, 스마트 교통 등 다양한 서비스가 나올 것이라는 관측이다.

IoT의 활용이 늘면서 IoT 해킹이 발생할 것이라는 우려도 높아지고 있다. 2014년 1월 미국 보안업체 프루프포인트는 스마트TV와 냉장고 등을 해킹해 좀비 가전을 만들어 악성 이메일을 배포한 사례가 있었다며 IoT 해킹을 경고했다. 2015년 1월에는 미래창조과학부와 KISA가 ‘2014년 사이버 보안 침해사고 주요 동향 및 2015년 전망 분석’ 자료를 통해 IoT 사이버 공격이 현실화될 수 있다고 밝혔다.



지난 8월 초 해킹 컨퍼런스 ‘데프콘’에서는 보안업체 직원들이 가정의 냉난방 장치를 관리하는 스마트 온도조절기를 해킹하는 시연을 했다. 온도조절기를 해킹해 집안 온도를 낮추거나 높인 후 협박을 할 수 있다는 것이다. 이 시연은 IoT로 이뤄진 스마트 홈이 해킹당할 수 있다는 점을 보여줬다.

IoT 해킹 위협이 높아지고 있는 가운데 한국도 안전지대가 아니라는 지적이 나오고 있다.

정부 보안업무 관계자는 “신고된 사례는 아직 없지만 한국에서도 IoT 해킹 사건이 발생했을 가능성이 있다”며 “또 스마트 가전, 스마트 홈 등이 빠르게 확산되면서 해킹 가능성이 높아지고 있다”고 지적했다.



실제로 한국에서 IoT 해킹이 이뤄지고 있을 가능성을 보여주는 조짐들이 나타나고 있다.

지난 1월 전 세계 CCTV 영상을 무단으로 보여주는 인서캠 사이트가 논란이 됐다. 인서캠은 한국의 수백 개 CCTV 영상도 무단으로 보여줬었다. 전문가들은 이 사건으로 한국이 CCTV 해킹의 안전지대가 아니라고 지적했다.

한국도 발생했을 가능성 높아

지난 9월 23일 글로벌 보안업체 시만텍은 IoT 기기의 허술한 보안을 이용해 악성코드를 유포하고 봇넷을 만드는 사례가 나타나고 있다고 주의를 당부했다. 그런데 시만텍의 분석에 따르면, 한국도 해킹을 당하고 있다는 결과가 나왔다. 시만텍은 악성코드 공격을 실행한 IP 주소의 소재지를 분석한 결과, IoT 공격이 중국(34%)과 미국(28%)에서 주로 발생했다고 설명했다. 그런데 IP 주소 소재지 중 한국이 3%를 차지하는 것으로 나타났다.

또 10월 11일 경찰청은 약 1만3000대의 스마트폰에 악성 애플리케이션을 설치해 개인정보를 빼낸 일당을 검거했다고 밝혔다. 그런데 이들은 인터넷 무선공유기를 해킹해 스마트폰을 감염시켰다. 전문가들은 무선공유기를 해킹한 후 스마트폰이 아니라 각종 IoT 기기를 감염시키는 것도 가능하다고 보고 있다.

이런 정황으로 볼 때 IoT 해킹이 한국 사회에서 문제로 부상하는 것은 시간문제라는 지적이다. 이를 의식해 정부도 대책을 마련하고 있다. 미래부와 KISA는 9월 27일 서울 중구 프레스센터에서 IoT 보안 얼라이언스 제3차 정기회의를 개최하고 IoT 공통 보안가이드를 발표했다. 경찰청도 최근 IoT 관련 보안 위협 사례와 수사 기법, 유의점 등을 담은 매뉴얼을 일선 경찰서에 전달한 것으로 알려졌다. 보안업체 역시 IoT 보안기술 개발에 주력하고 있다.



하지만 근본적으로 보안 의식이 변하지 않으면 대형 보안사고가 발생하는 것이 불가피하다는 지적이다.

한 보안 전문가는 “IoT 보안을 점검해보면 제조업체에서 IoT 기기에 설정한 비밀번호를 그대로 유지해 손쉽게 기기를 장악할 수 있었다”며 “해커들은 이같이 기초적 보안 허점을 파고들 가능성이 높다”고 지적했다.

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제43호(2016년11월) 기사입니다>