사물인터넷 노리는 해커들… 이젠 자동차까지 주인 몰래 작동

[WEEKLY BIZ] IoT 장치에 사이버 공격 급증

지난해 12월 경찰청 사이버테러수사대가 통합 주택 제어판(월패드) 해킹 사건 수사결과를 발표하고 있다. /연합뉴스

매년 두 차례 열리는 국제 해킹 대회 폰투온(Pwn2Own)은 지난 2019년부터 미국 전기차 기업 테슬라와 제휴해 자동차 부문 해킹 대회를 열고 있다. 작년 5월 캐나다 밴쿠버 대회에선 프랑스의 사이버 보안 기업 시낙티브의 전문가들이 테슬라 모델3 차량을 해킹해 상금 7만5000달러(약 9300만원)를 타 갔다. 이 팀은 테슬라의 소프트웨어를 해킹해 원격 조작으로 와이퍼를 작동시키거나 트렁크를 열고 차량 전조등을 끄는 데 성공했다.

사물에 각종 센서와 컴퓨터 통신 기능을 단 사물인터넷(IoT·Internet of Things) 장치가 급증하면서 해킹 위험도 덩달아 높아지고 있다. 스마트폰과 닮아가는 자동차를 비롯해 냉장고와 에어컨 같은 가전 기기, 집마다 거실 벽면에 설치된 월패드(주택 관리용 단말기)에 이르기까지 요즘에는 일상생활 어디에서나 IoT 장치를 쉽게 찾아볼 수 있다. 사이버 보안 업계에선 현재 전 세계에 퍼져 있는 IoT 장치가 170억대에 이를 것으로 추산한다.

이에 따라 IoT 장치에 대한 사이버 공격도 급증 추세다. 마이크로소프트가 지난 11월 발표한 ‘디지털 방어 보고서 2022′에 따르면, IoT 원격 관리 장치에 대한 사이버 공격은 지난해 5월 기준 1억2000만건에 육박해 재작년 6월(약 2000만건) 대비 6배 가까이 늘어났다. 최근에는 국내 한 해커가 전국 40만 가구의 월패드를 해킹해 집 안을 몰래 촬영한 뒤 이 영상을 해외 인터넷 사이트에 판매하려다 검거되기도 했다. 미국 CNBC는 “다크웹의 범죄자들은 해킹으로 돈 벌 수 있는 새로운 영역으로 IoT를 노리고 있다”고 전했다.

IoT 장치들에 대한 해킹은 전산망에 대한 공격보다 더 치명적일 수 있다. 물리적 세계와 직접 연결된 만큼 그 영향이 더 즉각적이기 때문이다. 가령 커넥티드 카 운전 도중 해킹이 발생하면 곧바로 인명 사고로 이어질 수 있다. 의료 분야에서도 각종 생체 신호 분석 및 전달을 위한 IoT 기기가 늘어나는 추세다. 사이버 보안 기업 팰로앨토 네트웍스는 지난 10일 낸 보고서에서 “의료용 약물 주입 펌프의 75%에서 공격자의 표적이 될 수 있는 보안 격차가 발견했다”고 지적했다.

하지만 IoT 장치의 보안은 컴퓨터 장치나 네트워크 보안에 비해 훨씬 허술한 편이다. 사이버 보안의 핵심은 새로운 취약점과 공격 방식이 발견될 때마다 보안 패치를 꾸준히 업데이트하는 것이지만, 많은 IoT 장치는 보안 업데이트 사각지대에 놓여 있다. MS는 보고서에서 “우리는 카메라부터 라우터(인터넷 연결 장치), 온도 조절기 등 사물인터넷 장치의 보안 취약성을 공략하려는 다양한 공격자들을 관찰했다”며 “이런 위험에도 수백만 장치가 보안 패치가 되지 않거나 해킹에 노출된 상태로 남아 있다”고 평가했다.

사이버 보안 산업이 발달한 미국조차 아직 연방 차원의 IoT 규제법이 없을 만큼 관련 규제도 미비하다. 미 정부는 지난 2021년 5월 IoT 장치 제조사에 해당 장치를 네트워크상에서 식별할 수 있도록 만들라는 행정명령을 발표했지만, 이마저도 미국 정부에 IoT 장치를 공급하는 기업에만 해당된다.

WEEKLY BIZ Newsletter 구독하기 ☞ https://page.stibee.com/subscriptions/146096