최근 랜섬웨어(Ransomware)의 기승으로 전 세계에 비상이 걸렸다. 모든 자료를 풀지 못하게 암호화 시켜버리는 랜섬웨어는 영화관, 버스, 기차, 공공기관 등 개인, 기업과 기관을 가리지 않았다.

랜섬웨어는 몸 값(Ransom)과 소프트웨어(Software)의 합성어로 컴퓨터의 데이터를 암호화시켜 풀지 못하게 만든 다음, 원하는 만큼의 가상화폐와 교환을 해야 자료를 복구해주는 악질해킹프로그램이다.

앞으로 미래는 소프트웨어와 인공지능, 기술이 무인화 되고 자동화로 이루어지는 ICT의 세계이다. 하지만 랜섬웨어와 같은 악질해킹코드가 기승을 부리고 사물인터넷 센서가 해킹되어 오작동 되면 어떻게 될까?

미래는 기술이 지배하는 세계, 오작동 따른 안정성 대책 필요

4차산업혁명을 대비하며 안정성 계획을 확립하는 일이 시급하다. 4차산업혁명시대 ‘세이프티 플랜(Safety Plan)’은 어떻게 계획해야 할까.

28일(수) 서울 양재동 엘타워에서 정보통신산업진흥원 주관으로 열린 ‘세이프티 SW 2017’ 컨퍼런스에서는 급변하는 기술의 물결 앞에서 대비해야 할 ‘세이프티 플랜’이 구체적으로 제시되었다.

실생활에서 가장 밀접하게 사용하는 영역은 컴퓨터 인터넷 보안 문제이다.

과거에는 특정사이트를 접속하거나 대량 스팸메일을 통해 악성코드가 심어졌다면 최근 악성해킹프로그램은 네트워크에 접속만 해도 악성코드에 감염된다. 여기에 더 큰 문제는 컴퓨터 뿐만 아니라 앞으로는 사물인터넷(IoT)로 연결되는 모든 제품들이 해킹될 수 있다는 점이다.

김학용 순천향대학교 IoT 보안연구센터 교수는 “악성코드에 오염되거나 해킹되어 오작동이 일어나면 어느 날 갑자기 드론, 자율주행차 등의 사물들이 인간을 공격할 수도 있는 일”이라며 경고했다.

김 교수는 사물인터넷(IoT)의 대표적인 온도조절기 ‘네스트’의 오동작 사례도 전했다. 네스트는 펌웨어 오류에 의해 오작동 되면서 보일러의 제어가 불가능해졌다. 해커는 실내 온도기를 극한으로 설정한 상태에서 돈을 요구했다.

의료계에서도 이러한 일이 벌어질 수 있다. 실제로 지난해 적외선 레이저로 약물 주입기 센서를 해킹하고 오작동을 유발한 사례가 밝혀져 충격을 주었다. 김 교수는 “떨어지는 약액의 방울을 세는 드롭센서의 해킹을 통해 약물 주입기의 투약량을 65%까지 줄이거나 330% 과대 투약이 이루어졌다”고 밝혔다.

인공지능 프로그램으로 작동되는 자율주행차의 경우는 어떨까. 2015년 자율주행차 단계 이전의 커넥티드카가 해킹된 사례가 있다. 이 해커는 크라이슬러사 체로키 차량의 컨트롤시스템인 ‘유커넥트’에 접속해 자동차를 원격제어 하는데 성공했다. 차량 IP만 알면 해킹이 가능한 구조로 밝혀져 파장은 더욱 컸다.

스튜어트 리드 STA 테스팅컨설팅 CTO는 “차량 해킹 및 S/W 오작동에 의한 세이프티 문제에 대해 그동안 제조사들이 책임을 명확하게 지지 않았다”며 과거의 잘못된 관행을 지적하기도 했다.

그는 “과거 안정성 문제는 중간 벤더들의 몫 이었다”고 지목한 후 “앞으로는 제조사에서 지속적으로 업데이트 되는 정보를 받아서 안정성 문제를 책임져야한다”고 강조했다.

기술의 변화에 따른 다양한 세이프티 문제의 해답은

자동차 보안 문제, 사물인터넷 및 인터넷 오류 및 해킹 문제, 금융 해킹 및 오류 문제, 스마트헬스 기기에 대한 오류와 안정성 문제, 사이버 보안의 위협 증가 등 4차 산업혁명 핵심기술들이 발달하면서 세이프티에 대한 중요성은 점점 더 커지고 있는데 반해 보안정책은 이에 따라가지 못하고 미흡한 상황이다.

그렇다면 어떻게 안정성 문제를 확보해야 할까.

스튜어트 리드 STA 테스팅컨설팅 CTO는 자동차 문제에 대한 해법을 데이터 업그레이드에서 찾았다. 그는  “S/W를 지속적으로 업데이트를 하고 또 업데이트가 진행되면 여러 다양한 변화가 일어날 수 있기 때문에 지속적인 관찰을 하면서 업그레이드를 진행해야한다”고 답했다.

김학용 순천향대학교 IoT 보안연구센터 교수는 보안레벨을 여러개의 수준으로 정의한 후 디바이스의 특성에 맞게 적용하는 방법을 제안했다.

IoT 디바이스 보안과 관련해 디바이스단에서는 경량, 저전력 암호화 생성 및 기기위변조 방지용 보안Soc를 사용하고 네트워크단에서는 IoT 보안게이트웨이, 침입탐지 및 원격보안관리 관제기술을 탑재하는 식이다.

다양한 정체성 기반의 보안을 강화하는 방법도 제시되었다. 사용자의 목소리, 얼굴, 지문, 홍채 인식 등 바이오 인식시스템이 바로 그것이다. 여기에 사용자의 타이핑 패턴, 걸음걸이 속도, 평소 이용하는 어플 등 행동특징을 수집하고 이를 기반으로 신뢰점수를 계산하는 ‘복합 인증 방법’도 소개했다.

데이터 분석을 통한 인텔리전트한 보안 방법도 하나의 방법이다. 머신러닝 기술을 사용해 집의 사물인터넷 디바이스를 자동으로 찾고 디바이스별 이용패턴을 분석해 이상 징후가 발견되면 관리자에게 통보하거나 공격을 차단하는 방식이다.

상황에 따른 유연한 보안정책 적용도 필요하다. 기술이 너무 빠르게 급변하고 있기 때문이다. 김희수 KT경제경영연구소 대외정책연구실장은 각종 세이프티를 확보하기 위한 방법으로 ‘제도를 효율적으로 운영할 것’을 대안으로 제시했다.

김희수 연구실장은 “기술의 변화가 급속도로 변화하고 있는 만큼 4차 산업혁명 관련 규제는 빠른 기술변화에 맞는 유연한 법 집행 필요하다”고 조언했다.

스튜어트 리드 CTO는 세이프티 정책이 결국에는 사회적 문화로 자리 잡아야 한다고 강조했다. 그는 “기술이 급변하는 미래에 세이프티를 유지하기는 쉽지 않지만 사회적으로 세이프티 대한 문화가 만들어져야 안전하게 기술을 이용할 수 있다”고 조언했다.