[김국배기자] 사물인터넷(IoT) 보안 위협이 현실화하면서 보안에 대한 우려가 커지고 있다.
우리가 일상에서 반복적으로 사용하는 기기들이 인터넷과 연결되면서 '좀비 군단'으로 변하고 있기 때문이다. 전혀 예상치 못한 공격은 아니었지만 실질적인 위협으로 다가오기 시작한 셈이다.
IoT 세상에선 PC·서버·네트워크 보안처럼 백신이나 방화벽 같은 보안 솔루션을 추가하는 기존의 방식으론 한계가 있다는 이유로 '디바이스 보안'이 필요하다는 목소리도 높아지고 있다.
◆"IoT 공격 끝이 아니라 시작"
디바이스 보안 위협은 증가 추세다. 지난 10월 21일(현지시각) 미국 동부를 덮친 인터넷 도메인 서비스 업체 딘(Dyn)에 대한 대규모 디도스(DDoS) 공격에 IoT 기기가 악용된 것이 대표적인 사례다.
이 공격으로 아마존, 트위터, 넷플릭스, 뉴욕타임즈 등 수십 개의 주요 웹사이트들이 몇 시간 동안 접속이 불가능했다.
디도스는 새로운 공격은 아니지만 그 동안은 주로 PC가 숙주(宿主)가 된 반면 이번엔 우리가 일상적으로 사용하는 디지털 카메라, DVR 등 스마트 기기가 공격 무기가 됐다.
'미라이(Mirai)' 악성코드가 보안에 취약한 이 기기들을 감염시켰다. 미라이는 지난 10월초 소스코드가 공개되면서 누구나 쉽게 미라이로 구성된 '봇넷'을 제작해 사용할 수 있게 된 상태였다.
트렌드마이크로 관계자는 "현재 IoT 기기는 보안이 확보되지 않았거나, 확보할 수 없거나, 확보될 전망이 없는 세 가지 유형으로 나뉘어 공격자에게 유리한 형세"라며 "IoT 기기의 보안을 확보하는 방안을 찾을 때까지 공격은 멈추지 않을 것"이라고 경고했다.
황수익 시큐리티플랫폼 대표도 "디바이스 해킹은 특히 펌웨어(firmware)를 해킹해 하드웨어의 제어권을 탈취하기 때문에 더욱 위험하다"고 말했다.
◆디바이스 '보안 내재화' 적용해야
그러나 IoT 보안을 개선하기 위한 디바이스 보안은 쉽지 않다. 프로세스 파워, 메모리가 제한돼 있어 보안 솔루션을 설치하고 실행하기 어려운 데다 물리적인 접근이 쉬워 인증·암호키를 보호하기도 어렵다는 것이다.
또한 수많은 종류의 하드웨어와 운영체제(OS), 앱이 존재하는 만큼 위협이나 공격의 종류까지 매우 다양하다는 것도 디바이스 보안의 문제점 중 하나다.
아울러 IoT 보안 확보를 위한 작업을 수행하려는 동기가 확실한 주체가 없다고 트렌드마이크로는 지적했다. IoT 기기 제조업체들에도 보안은 편리하고 새로운 기능, 빠른 시장 진출이라는 목적에 비하면 우선사항이 아니라는 것이다.
유럽위원회의 경우 IoT 보안을 위한 규제까지 검토중인 것으로 알려진다. 우리나라는 내년부터 IoT 디바이스 보안 인증제를 실시할 예정이다.
전문가들은 디바이스 보안을 위해서 '보안 내재화'가 필요하다고 분석한다. 보안 하드웨어(HW)와 OS가 적용돼야 한다는 것이다.
스마트폰이 아닌 대부분의 디바이스는 패스워드나 인증·암호키의 '금고' 역할을 하는 HW 보안요소가 구현돼 있지 않다.
또 OS단에서는 정상적인 패치나 업그레이드 외 시스템 변경을 막는 시스템 해킹방지 요소, 애플리케이션 권한이 시스템 권한이나 다른 애플리케이션 권한을 침범하지 못하도록 하는 시스템 권한제어 요소도 필요하다. 현재는 설계 단계에서 보안을 고려하지 않아 이런 요소들이 빠져 있다.
황수익 대표는 "아이폰이나 삼성 녹스 플랫폼은 특별한 취약점이 발생하지 않는 한 보안 HW와 OS를 통해 논리적으로 해킹이 어려운 구조"라며 "HW 기반 인증·암호화, 전자서명 기술로 디바이스의 불법복제와 위·변조를 근본적으로 차단해야 한다"고 강조했다.
IoT 소프트웨어 업체 윈드리버는 디바이스의 '면역력'을 높여야 한다고 조언한다. 디바이스에서 불필요한 서비스를 제거하고 기본 인증 정보를 강력한 암호로 대체하는 것이 첫 번째 단계다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기