한 해를 일주일 가량 남겨두고, 내년 전망을 예측하는 보고서가 속속 나온다. IT 업계 전문가들이 입을 모으는 대목은 인터넷을 기반으로 사람과 사물, 사물과 사물이 연결되는 ‘사물인터넷(IoT)’이 더욱 확산될 것이라는 점이다. 인터넷에 연결된 사물은 이미 100억 개에 달하며, 2020년에는 약 500억 개에 이를 것으로 보인다.
이와 비례해 보안 위협도 거세질 것으로 전문가들은 내다보고 있다. IoT 환경에서는 해킹 가능한 기기와 공격 방법이 다양해질 것으로 예상된다. 최근 미국의 보안업체 ‘오쓰0’의 조사에 따르면, IoT로 연결된 기기를 이용하는 일반 소비자의 52%가 보안이 불충분하다고 생각하는 것으로 나타났다. IT 업계 종사자들을 대상으로 한 조사에선 불신이 더 컸다. 무려 90%에 달하는 응답자들이 IoT 보안에 불안을 느낀다고 말했다. 국내에서도 지난 6월 한국소비자원이 남녀 1000명을 대상으로 IoT 제품과 관련해 가장 걱정되는 점을 물었더니, 응답자의 93%(중복응답 포함)가 프라이버시 침해를 꼽았다.
실제로 IoT 연결 기기의 70%가 보안에 취약한 것으로 나타났다. 이름, 이메일 주소, 집 주소, 생년월일, 신용카드 정보 등이 IoT 기기를 통해 수집, 암호화 되지 않은 상태로 클라우드나 로컬 네트워크를 통해 전송되는 경우가 상당수다. 이는 제품 생산자가 보안에 대한 경각심이 부족하거나, 보안 기능을 갖추는 데 시간과 비용을 들이길 꺼려하기 때문. 다양한 기기와의 통신을 위해 개방형 표준기술이 사용되면서 보안에 취약할 수 밖에 없는 숙명도 있다.
특히 IoT 기술이 접목된 의료기기에 관심이 높아지면서 이와 관련한 보안 우려도 커지고 있다. 최근 어도비 보고서는 건강 관리에 대한 관심에 힘입어 스마트워치 시장이 더욱 성장할 것으로 예상했다. 병원을 꼬박꼬박 찾지 않더라도, 스마트 워치와 같은 웨어러블 기기나 네트워크에 연결된 의료 기기를 통해 건강 상태를 확인할 수 있다. 스스로 수집한 건강 정보를 병원 측과 공유하면, 굳이 병원에 가지 않아도 검사 결과를 확인하는 일이 가능하다. 이를 노린 개인정보 탈취 시도도 기존 해킹 방식보다 새롭고 정교해질 것으로 보인다. 의료 정보는 간단한 신상 정보는 물론, 진료 기록과 금융 정보까지 담겼다는 점에서 사이버 범죄자들이 군침을 흘리는 고급 정보인 까닭이다.
IoT 기기로 인한 보안 위협은 개인의 피해 사례에 그치지 않는다. 산업 분야의 각종 시설이 네트워크에 긴밀하게 연결되면서, 기간시설로까지 사이버 공격이 확대되고 있다. 시만텍을 비롯한 보안 업체들은 2016년에는 주요 기간시설에 대한 공격 사례가 증가할 것으로 전망했다. 자동차나 항공기를 원격 제어하는 것은 물론, 항공 관제 시스템과 같은 시설을 교란시킬 경우 다수의 생명이 위험해지는 극단적인 상황을 가정할 수 있다. 정유나 정수 시설이 해킹 공격을 받을 경우엔 환경 재앙을 초래할 수도 있다.
전문가들은 보안 위협에 선제적으로 대응하는 것이 피해를 최소화할 수 있는 방법이라고 말한다. 윤광택 시만텍코리아 상무는 “웨어러블 기기나 건강 체킹하는 앱 등을 통해 수집된 정보가 어떻게 사용되고 있는 지가 불분명하고, 사용자에게도 제대로 고지되고 있지 않다. 특히 건강과 관련된 기기가 외부에 의해 오작동 되면 생명과도 연관될 수 있어 위험하다”며 “결국 IoT도 컴퓨터와 다를 바 없다. 에코 시스템에 비(非)인가된 장비가 들어오는 걸 막고, 데이터를 전송할 때 암호화하는 부분 등 기본적인 보안에 충실해야 한다. 특히 디바이스를 처음 디자인할 때부터 보안을 염두에 두고 준비할 필요가 있다”고 조언했다.
한편, IoT 기기나 시설 뿐 아니라, 모바일을 통한 금융 거래가 확산되면서 이를 겨냥한 위협도 뒤따르고 있다. 이글루시큐리티는 ‘2016 보안 위협 전망 보고서’를 통해 스마트폰을 비롯한 모바일 기기에 대한 보안 위협이 PC 보안 위협과 유사한 수준으로 정교해지고 방대해질 것으로 예상했다. 이에 금융보안원은 핀테크 기업을 대상으로 보안 상담 및 컨설팅을 실시하는 등 기업 스스로 보안 위협을 인지하고 제거할 수 있도록 지원에 나섰다.
ham@heraldcorp.com
