도로를 달리던 자동차의 운전대가 멋대로 움직이고, 음악이 흘러나오던 라디오 채널이 갑자기 바뀐다. 브레이크도 운전자의 말을 듣지 않는다. 흡사 귀신이 씐 것 같은 상황이지만, 범인은 노트북을 켜 든 해커였다.

지난해 7월 미국에서 있었던 지프 체로키 해킹 사건은 세상을 떠들썩하게 했다.

두 명의 보안 전문가는 차량의 각종 기능을 인터넷으로 제어하는 '유커넥트' 시스템의 허점을 파고들며, 사물인터넷(IoT) 사회에 대한 불안에 불을 지폈다.

모든 사물이 연결되는 시대가 성큼 다가오고 있지만, 보안 시스템은 여전히 뒷전이다. 문제는 사물이 연결될수록 사이버 공격으로 인한 피해도 커진다는 점이다.

네트워크의 허점을 파고들다

각종 사물을 통신망으로 연결해 제어하는 사물인터넷은 커넥티드 자동차(Connected Car)부터 스마트홈, 원격 검침까지 다양한 분야로 확대되고 있다.

시장조사기관 IC인사이츠는 올해부터 2019년까지 매년 19억~30억 개에 달하는 사물인터넷 기기가 새로 생겨날 것으로 전망했다. 2015년 세계 인구 기준(73억 명)으로 한 명당 약 4.1개의 사물인터넷 기기를 갖게 되는 셈이다.

또 다른 시장조사업체 가트너는 한발 더 나아가 2022년까지 일반 가정에서 500개 이상의 사물이 서로 연결되는 시대가 올 것이라고 내다봤다.

모든 사물이 통신망으로 연결된다는 것은 그만큼 사이버 공격을 받을 여지가 커진다는 의미다.

네트워크와 연결된 커넥티드 자동차의 보안 허점은 이미 여러 차례 확인됐다.

일본의 닛산 자동차도 지난 2월 전기차 '리프(Leaf)'의 전용 애플리케이션이 해킹당할 수 있다는 사실이 확인되자 앱 기능을 전면 중지했다.

미국 연방수사국(FBI)과 도로교통안전국(NHTSA)은 3월 자동차 해킹 가능성을 경고하는 공지문을 발표하기도 했다.

스마트홈이나 원격 검침 역시 해커의 공격에 노출돼 있다고 전문가들은 우려한다.

한 보안 전문가는 "스마트홈이나 커넥티드 자동차 모두 보안에 굉장히 취약하다"며 "사실상 네트워크로 연결된 모든 것은 해커에 의해 뚫릴 수 있다고 봐야 한다"고 지적했다.

원격 침투 노리는 해커들…기업들 보안은 뒷전

IoT 보안의 최대 취약점은 원격조정에 있다.

IoT 기기는 인터넷을 통해 원격으로 조정하는 경우가 많은데 해커들이 네트워크로 들어와 사물을 마음대로 제어할 가능성이 있기 때문이다. 해커들이 기기에 악성코드를 심어 사용자 의사와 상관없이 조정하고, 사물이 보내는 신호를 변조해 사고를 유발할 수 있다.

IoT 기기가 비용 절감과 안정성을 이유로 저사양을 택하는 점도 위험을 키운다. 첨단 보안기술을 적용하더라도 사양이 낮아 시스템 충돌 등 기술적 문제가 발생할 수 있다.

IoT 운영체계(OS)가 체계적이지 않은 점 역시 문제다. 제조사마다 운영체계가 다른 데다 비용을 줄이기 위해 공개된 프로그램 코드(오픈소스)를 주로 활용하다 보니 해커에게 노출되기도 쉽다.

일부에서는 제조업계가 사업 확장에 급급해 정작 중요한 보안을 소홀히 하고 있다고 지적한다.

보안업계 관계자는 "기업들이 초기 IoT 시장에서 빨리 파이를 키우려다 보니 IoT 기기에 기본적인 보안 기능만 탑재하고, 부족한 부분은 추후에 보완하는 경우가 많다"며 "보안상 허점이 생기기 쉬운 구조"라고 말했다.

"산업계 중심으로 보안 수준 끌어올려야"

IoT 사업 확장에 밀려 보안은 뒷전으로 밀려나 있지만, 정작 소비자 사이에서 보안에 대한 요구는 커지고 있다.

한국인터넷진흥원이 지난해 9월 인터넷 이용자 3천 명을 대상으로 조사한 결과 스마트홈 활성화를 위한 과제로 '오작동 등에 대비한 안전성 확보'를 꼽은 응답자가 24.6%로 가장 많았고, '정보보안'이 20.5%로 뒤를 이었다.

산업계도 이러한 요구를 의식해 IoT 기기와 관련한 보안을 점차 강화하고 있다.

삼성전자[005930]는 2016년형 스마트TV 전라인에 보안 솔루션 가이아(GAIA)를 적용하고 있다. 가이아는 일반 애플리케이션의 외부 접근이 불가능한 가상 공간에서 실행되며, 자체 백신 프로그램도 내장했다.

LG전자[066570]는 스마트TV 운영체제인 '웹OS 3.0'을 강화해 악성 앱이 침투하는 것을 차단하도록 했다.

유엔(UN)정보보호담당관인 캐서린 가뇽은 최근 연합뉴스와 인터뷰에서 "IoT를 가장 적극적으로 도입하는 건 산업계"라며 "업계가 나서서 기기에 보안 솔루션을 탑재하고, 시스템을 강화하는 것이 현실적인 대책"이라고 말했다.

보안 전문가들은 구체적으로 기기와 서버 간 상호인증을 강화하고, 악성코드 탐지와 방어에 힘을 쏟아야 한다고 조언한다. 중요한 건 IoT 보안의 중요성을 인식하는 것이다.

이기택 해커연합 HARU 대표는 "IoT 분야의 보안 전문성을 갖춰야 한다"며 "운영체계의 보안 수준을 끌어올리고, 기기 사양도 높여야 한다"고 강조했다.