뉴스
2019년 01월 19일 17시 29분 KST

'스마트홈' 기기에 대한 해킹이 여타 해킹보다 훨씬 위험할 수 있는 이유

스마트 기기를 암호화폐 채굴의 ‘노예로’ 쓰는 악성코드가 유행할 것으로 보인다.

metamorworks via Getty Images

▶ 인터넷에 연결된 ‘스마트홈’ 기기들은 필요한 정보를 빠르게 제공하고 먼 곳에서 원격 제어도 되는 글자 그대로 ‘똑똑한’ 기기들이다. 하지만 집안의 스마트 기기가 인터넷을 통해 해킹될 위험도 커지고 있다. 이제 컴퓨터뿐 아니라 사물인터넷 기기 해킹에도 주의를 기울여야 한다고 보안전문가들은 말한다.

이제 집과 자동차도 해킹이 되는 시대다. 내 집안을 다른 사람이 손바닥처럼 들여다보는 일을 피하려면 사이버 집안 단속을 해야 한다. 인터넷진흥원과 국내 보안서비스업체들은 지난 12월 발표한 자료에서 새해에 주의해야 할 사이버공격의 하나로 스마트홈 기기들에 대한 해킹을 꼽았다. 인터넷에 연결된 냉장고, 텔레비전, 로봇청소기, 보일러, 아이피(IP) 카메라, 무선 공유기 같은 물건들을 ‘사물인터넷(IoT) 기기’라고 부른다. 흔히 ‘스마트’라는 말을 붙여, 스마트홈, 스마트기기, 스마트자동차 등으로 부른다. 사물인터넷 기기는 먼 곳에서도 원격 제어가 가능하고 필요한 정보를 확인할 수도 있다. 아파트 안 가전제품, 현관, 조명 등이 모두 사물인터넷으로 연결된 스마트홈은 국내에서도 확산되고 있는 추세다. 사물인터넷 기기는 계속 증가해 2020년에는 세계에서 350억개를 넘어설 것으로 관련업계에서는 전망하고 있다.

사물인터넷의 증가와 함께 사물인터넷 기기의 허술한 보안망을 뚫고 개인 정보를 빼내거나 악성코드를 심는 사이버공격 역시 늘고 있다. 인터넷에 연결된 스마트 기기에는 통신 장치와 작은 컴퓨터가 내장돼 있기 때문에 해커들은 거기에 악성코드를 심어 스팸메일을 보내거나 개인정보를 빼낼 수 있다.

냉장고, 공유기, TV도 해킹

인터넷에 연결된 집안 기기가 해킹 대상이 될 수 있다는 것을 널리 알린 것은 아이피 카메라였다. 폐쇄회로티비(CCTV)와 달리 아이피 카메라의 영상은 인터넷만 되면 멀리 떨어진 곳에서도 볼 수 있어, 집에 있는 반려동물이나 아이, 노인을 살피는 가정용으로 널리 쓰인다. 이런 아이피 카메라가 해킹되면, 누군가가 집안의 사생활을 훔쳐볼 수도 있다. 실제로 그런 사건은 계속 일어나고 있다.

지난해 11월, 경찰청 사이버수사대는 해킹 프로그램으로 남의 아이피 카메라에 접속해 사생활 영상을 훔쳐보거나 저장한 10명을 붙잡았다. 허술하게 관리되는 아이피 카메라의 비밀번호가 쉽게 뚫리면서 피해가 커졌다. 붙잡힌 10명이 몰래 훔쳐본 아이피 카메라는 무려 4900여대나 됐다. 이런 해킹은 이번만이 아니었다. 2017년만 해도 경남지방경찰청 사이버수사대에 의해 아이피 카메라를 해킹해 여성의 사생활 등을 몰래 훔쳐본 혐의로 30명이 붙잡히기도 했다.

한겨레
외부에 노출돼 해외 인터넷 사이트에 중계되고 있는 세계 각지 아이피 카메라들의 실시간 영상들. 아랫줄 오른쪽 사진에서 보이듯 한국의 어느 수영장에 설치된 카메라의 영상도 이곳에서 중계되고 있다. 사이트 갈무리

아이피 카메라 해킹이 계속되는 이유는 뭘까? 인터넷진흥원의 이동연 인텔리전스확산팀장은 “폐쇄회로티브이를 대신해 간편한 아이피 카메라를 설치하는 경우가 늘어나고 있지만 보안 의식은 허술한 탓”이라고 말했다. 해킹 수법은 단순했다. 해킹 프로그램을 손에 넣은 누군가가 아이피 카메라 제조회사가 설정한 단순한 비밀번호를 무작위로 대입하는 방식을 통해, 비밀번호가 없거나 허술하게 설정된 카메라를 찾아내는 것이다. 인터넷진흥원의 김도원 취약점분석팀장은 “예컨대 아이들이 안전하게 수영 교습을 받는지를 부모들이 집에서 볼 수 있도록 수영장에 설치한 아이피 카메라의 영상이 그대로 외부에 노출되는 사례도 있었다”고 전했다. 실제로 쉽게 외부인이 접근할 수 있는 아이피 카메라의 영상들을 웹으로 중계해 허술한 보안 실태를 보여주는 한 사이트에 들어가 보면, 세계 각지의 식당, 수영장, 사무실, 슈퍼마켓 등의 수많은 동영상을 실시간으로 볼 수 있다. 16일 현재 들어가본 이 사이트에선 국내 한 수영장과 시장거리 등의 모습이 실시간으로 중계되고 있었다.

문제는 해킹 대상이 아이피 카메라를 넘어 다양한 스마트 기기로 확대될 수 있다는 점이다.

“냉장고가 내부 온도를 감지해 집밖에 있는 집주인한테 정보를 알려주거나 집주인이 집밖에서 보일러를 켜고 끌 수 있는 것은 다 인터넷 통신 덕분입니다. 그런데 보안망이 뚫리면 공격자는 인터넷 통신 데이터를 가로채 개인 정보를 빼내거나 악성코드를 심어 기기를 마음대로 제어할 수 있습니다. 인터넷에 연결된 기기들이 많아질수록 해킹 대상은 늘어날 수밖에 없는 겁니다.”

보안서비스업체인 잉카인터넷의 정영석 기술연구소장은 스마트 티브이에서 개인 정보를 빼내는 일도 불가능하지 않다고 말했다. 만일 해킹된 상태라면 사용자가 스마트 티브이에서 영상 콘텐츠를 구매하며 신용카드 정보를 입력할 때, 데이터를 가로채는 수법으로 신용카드 비밀번호와 같은 개인 정보를 빼낼 수 있다는 것이다. 

해커 명령 따라 ‘좀비’ 되기도

집안 스마트 기기들은 집주인이 잠자는 사이에 머나먼 곳의 사이트를 겨냥한 사이버공격에 동원될 수도 있다. 실제로 그런 일이 있었다. 2016년 이른바 ‘미라이 봇넷’ 사건은 세계 보안업계를 떠들썩하게 했다. 세계 각지의 수많은 사물인터넷 기기들이 해커의 명령에 따라 대규모 사이버공격을 감행했고, 많은 사이트를 마비시켰다.

수법은 이랬다. 해커는 비밀번호나 보안망이 허술한 채로 인터넷에 연결된 사물인터넷 기기들을 찾아낸 다음에 거기에 악성코드를 심어 일종의 ‘좀비 군단’을 만들었다. 그런 다음에 특정 사이트에 대한 공격 명령을 내리자 감염된 사물인터넷 기기들이 이른바 ‘봇넷’(로봇 네트워크)을 이루어 일제히 공격에 나섰다. 2016년 9~10월 ‘미라이’라는 이름의 악성코드를 이용한 신종 해킹은 수십만개의 사물인터넷 기기를 동원한 디도스 공격으로 미국 인터넷 서비스업체나 프랑스 컴퓨팅기업 등 76개 사이트를 마비시키거나 서비스를 지연시켰다.

인터넷에 연결된 수많은 스마트홈의 티브이나 냉장고들에 악성코드를 심어 스팸메일을 발송하게 하는 사례도 2014년 미국 보안업체에 의해 처음 발견돼 보고된 바 있다. 정영석 잉카 연구소장은 “악성코드를 심는다는 것은 복제된 차량열쇠처럼 남의 스마트 기기를 자기 명령대로 작동할 수 있는 복제 열쇠를 갖는다는 의미”라고 설명했다. 하지만 문제는 냉장고나 텔레비전에 감염된 악성코드의 존재를 집주인이 알아채기는 힘들다는 것이다. 

올해 유행할 것으로 예상되는 해킹 유형은 스마트 기기를 암호화폐 채굴의 ‘노예로’ 쓰는 악성코드다. 암호화폐를 얻으려면 특정 암호를 푸는 과제를 수행해야 하는데, 이를 위해선 많은 전력과 컴퓨터 장비가 필요하다. 이 때문에 인터넷에 늘 연결돼 있고 연산 능력도 갖춘 사물인터넷 기기들은 암호화폐 채굴로 돈을 벌려는 해커들에게 좋은 ‘먹잇감’이 된다. 해커들은 사물인터넷 기기에 악성코드를 심고서, 좀비가 된 기기를 집주인 몰래 암호화폐 채굴에 이용한다. 이런 피해 사례는 국내에서도 2017년 3건에서 2018년엔 1258건으로 급증했다.

자율주행차를 비롯해 인터넷과 연결된 스마트자동차의 보안 문제도 이슈로 떠오르고 있다. 정영석 잉카 연구소장은 “자율주행차량이 해킹되면 누군가가 원격으로 제어해 브레이크를 작동하거나 핸들을 조작할 수도 있다는 게 시연을 통해 입증된 바 있다”면서 “자동차 해킹은 큰 사고로 이어질 수 있어 보안이 중요한 문제로 다뤄지고 있다”고 전했다. 이에 따라 자동차의 통신 데이터를 모두 기록해두는 ‘통신 블랙박스’를 따로 설치해야 한다는 의견도 활발하게 제기되고 있다. 원인이 불분명한 자동차 사고를 조사할 때 누군가의 해킹 시도가 있었는지를 규명하기 위해선 모든 로그인과 통신 데이터를 기록해둔 전용 블랙박스가 필요하다는 것이다.

보안서비스업체 안랩의 안창용 책임연구원(ASEC대응팀)은 “사물인터넷 기기는 세계에서 점점 다양하게, 더 많이 사용되는 데 비해 사용자들의 보안 관리 의식은 아직 낮은 수준이어서 해커들의 공격 목표가 되고 있다”고 말했다. 이런 사이버공격에 대해 보안 기관과 업체들은 기기 제품의 보안망을 강화하거나 해킹 조짐을 될수록 일찍 탐지해 대처하는 방식으로 대응하고 있다. 마치 바이러스와 백신처럼 공격과 방어는 계속될 것이다.

사이버 집안단속 두 가지 수칙
① 비밀번호 관리 철저하게
② 소프트웨어 업데이트 자주
 

사이버 집안단속 생활화해야

“외부에 노출된 아이피 카메라가 발견되면 사용자를 찾아 비밀번호를 다시 설정하라고 전화로 알려주기도 해요. 하지만 사용자들은 아이피 카메라의 보안 문제라는 걸 이해하지 못하거나 비밀번호 재설정 같은 작업을 귀찮아하고 어려워해요. 제품 판매원의 전화나 보이스피싱으로 오해를 받기도 합니다.”

이동연 인텔리전스확산팀장은 “인터넷에 연결되는 기기들이 점점 많아지는 시대에 사이버 보안은 이제 필수적인 생활습관으로 인식해야 한다”고 강조한다. 스마트 기기를 이용해 편리함을 얻는 만큼 집안의 개인 정보를 지키는 보안 의식도 함께 높아져야 한다는 것이다. 특히 비밀번호가 허술한 아이피 카메라, 집 안팎의 통신 데이터가 거쳐 가는 유무선 공유기(와이파이 공유기), 그리고 네트워크에 연결된 개인용 저장장치(NAS, 나스)는 가장 잦은 사이버공격 대상으로 꼽히는 만큼, 보안에 더 신경을 써야 한다.

사이버 집안 단속의 수칙을 꼽는다면? 보안 전문가들은 컴퓨터나 스마트폰의 비밀번호처럼 이제는 스마트홈 기기의 비밀번호 관리에 주의를 기울여야 한다고 강조한다. 아이피 카메라의 사용자라면 제품이 2015~16년에 만들어진 것인지 먼저 확인해야 한다. 이 시기의 아이피 카메라에는 기본 비밀번호가 허술하게 설정된 경우가 많아 비밀번호를 반드시 바꾸어야 한다. 아이피 카메라 해킹이 사회문제로 불거지지면서, 요즘에는 제조업체들이 제품마다 다른 고유번호를 설정하거나 처음 사용할 때 사용자가 반드시 비밀번호를 다시 설정하도록 설계하고 있다.

스마트 기기 소프트웨어의 업데이트도 관리해야 한다. 스마트 기기를 작동하는 소프트웨어를 ‘펌웨어’라 부르는데, 제조사는 오류 수정, 보안 강화 등을 위해 필요할 때 ‘펌웨어 개정판’을 내놓는다. 새로운 해킹 수법에 대응해 펌웨어의 보안 기능을 강화해야 하기 때문이다. 인터넷진흥원의 김도원 취약점분석팀장은 “펌웨어 업데이트가 번거롭고 쉽지는 않지만 집안 기기의 보안을 위해 꼭 필요하다”고 강조했다. 보안 전문가들은 비밀번호 관리와 펌웨어 업데이트, 두 가지만 지켜도 웬만한 해킹을 막아낼 수 있다고 말한다.

집 안팎 어디에서나 자주 쓰는 스마트폰의 애플리케이션(앱)에서도 해킹을 주의해야 한다. 특히 개인 정보를 주고받는 앱을 처음 쓸 때엔 믿을 만한 앱인지를 한번 더 살펴봐야 한다. 이동연 팀장은 “해킹을 목적으로 만들어진 가짜 앱도 있다. 겉보기엔 번듯한 채팅 앱처럼 보이지만 사용자들의 개인 정보를 뒤에서 빼내기도 한다”면서 “블랙마켓(개인이나 사설업체가 만들고 운영하는 앱 유통 마켓)에 있는 이상한 앱을 조심하고 모바일 백신도 자주 사용할 것“을 권했다. 최근엔 해킹한 무선 공유기에서 데이터를 중간에 가로채 앱을 다시 설치하라는 메시지를 보내고서 가짜 앱을 깔도록 한 다음에 새로 입력하는 개인 정보를 빼내는 수법도 등장했다.

* 사이버 집안 단속 위해 알아둘 용어

사물인터넷(IoT): 각종 기기에 센서와 무선통신 기능을 내장해 인터넷에 연결하는 기술. 사물인터넷 기기는 사용자한테 필요한 정보를 제공하거나 사용자에 의해 원격으로 제어될 수 있다. 사물인터넷으로 연결된 기기, 집, 차, 도시를 스마트기기, 스마트홈, 스마트카, 스마트시티라고 부른다.

악성코드: 악성 소프트웨어(맬웨어)의 총칭. 사용자 모르게 일반 소프트웨어들 사이에 들어와 정보나 데이터를 수집하거나 악성 동작을 일으키는 명령어 조합이다.

아이피(IP) 카메라: ‘인터넷 프로토콜 카메라’의 줄임말. 폐쇄회로카메라(CCTV)는 한정된 모니터에서 영상을 볼 수 있는 폐쇄망 방식인 데 비해, 아이피 카메라는 인터넷이 되면 어디서든 볼 수 있다. 비밀번호가 노출되거나 보안망이 뚫리면 다른 사람도 엿볼 수 있다.

펌웨어 업데이트: 무선 공유기나 스마트 기기에는 전용 소프트웨어가 내장되어 있는데 이를 펌웨어라 한다. 펌웨어는 기기의 오류 수정, 기능 개선, 보안 강화를 위해 업데이트되곤 한다. 업데이트 방법은 제품설명서나 유튜브 동영상을 참조할 수 있다.

보호나라, 118: 해킹, 보안과 관련한 정보를 ‘보호나라’ 누리집(www.krcert.or.kr)에서 볼 수 있으며 국번 없는 전화 118을 통해 피해 신고와 상담을 할 수 있다.

PRESENTED BY 오비맥주