2012년 방영된 SBS 수목드라마 ‘유령’에서는 자동차 해킹을 이용한 살인 사건이 등장한다. 자동차의 USB 포트를 통해 악성코드를 심은 뒤 이를 원격 제어해 차량을 급발진시킨 것이다.

 

물론 극단적인 사례지만 불가능한 일은 아니다. 사물인터넷(Internet of Things, 이하 IoT) 시대에는 정보 유출뿐만 아니라 사람의 생명과도 직접 연결되는 보안 위협이 화두로 떠오를 전망이다.

 

LG유플러스(032640)가 분석한 자료에 따르면 국내 홈IoT 가입 가구는 2016년 30만, 2017년 61만 가구를 넘어 2018년 109만 가구를 돌파할 전망이다. 이는 전체 가구의 약 7% 수준이다. 수십여개 디바이스가 인터넷으로 연결돼 상호 정보를 공유하는 만큼 보안 이슈는 시급한 과제다.

 

이에 미래창조과학부는 지난 25일 LG유플러스 용산 사옥에서 정책간담회를 열고, 스마트홈·가전 분야의 산업 및 보안 전문가들과 서비스 안전성 확보에 필요한 보안 기술과 관련 정책 등을 논의했다.

 

 

스마트홈은 가전제품 등 각종 디바이스들에 칩, 센서 등을 부착해 인터넷으로 연결하는 것으로, 집 안팎 어디서나 상태를 확인하고 원격 제어할 수 있는 서비스다. 지금은 전등 스위치나 전기 플러그, 도어락 등에 활용되는 초기 단계지만 연결되는 기기 수와 서비스 제공 범위는 계속해서 확대될 것이다. 이런 IoT 서비스 역시 과거와 보안 이슈의 근간은 같지만 새로운 접근법이 필요하다는 주장이다.

 

김창경 LG유플러스 부장은 “일반적으로 IT 인프라가 인터넷 데이터 센터(IDC)에 위치하는 것과 달리 IoT 기기는 사용자 관리 영역에 설치된다”며 “이에 쉽게 기기에 접근해 다양한 하드웨어 해킹이 가능하다”고 설명했다.

 

세계 보안컨퍼런스 블랫햇(Black Hat)에서는 성공적인 스마트홈 모델로 꼽히는 네스트랩스의 온도조절기를 마이크로 USB 케이블만으로 단 15초만에 조작해 보였다. 또 미국에서는 심박조율기나 인슐린 펌프 등 의료기기를 해킹해 직접적으로 사람의 생명을 위협할 수 있다는 점도 시연된 바 있다. 현대인이 하루 평균 83번 노출된다는 곳곳의 CCTV가 해킹돼 사생활이 노출될 수 있다는 점은 말할 것도 없다.

 

이에 갖가지 하드웨어 해킹을 야기할 수 있는 스마트홈 분야에 특화된 보안 표준이 필요하며, ▲기밀성 및 무결성 제공 ▲인증 기법 ▲인가 기법 ▲접근제어 기법 ▲암호 알고리즘 종류 등에서 여러 기술들이 표준으로 제안되고 있다.

 

 

LG유플러스의 경우 ▲애플리케이션 ▲네트워크 ▲디바이스 등 세 구간을 나눠 보안 위협에 대응하고 있다. IoT 서비스 기획 단계부터 위험 평가를 적용하고 보안 가이드에 준하도록 개발해 운영 단계에서는 서비스 이상 발생 시 즉각적인 보안 관리가 이뤄지도록 한다는 것이다.

 

김 부장은 “향후 준거성의 판단이 될 정부 IoT 보안 가이드가 빨리 마련돼야 한다”며 “KS마크처럼 이용자가 쉽게 인식할 수 있는 IoT 제품 보안인증을 제도화하는 방안도 생각할 수 있다”고 말했다. 현재는 정보 보안에 특화된 인증 제도는 없다. 제품 개발 시 전파, 에너지 등급 등은 법적으로 인증을 거치도록 돼 있지만 보안 요소는 타 인증 항목을 통해 부분적으로 체크되고 있는 것이다.

 

정한근 미래부 정보보호정책관은 “국제적 인증 제도와 적합하면서도 중소 제조업체의 부담을 덜고, 동시에 보안 신뢰성을 높이는 방법을 고안 중”이라며 “미래창조과학부, 방송통신위원회, 행정자치부가 머리를 맞대 조만간 결과를 낼 수 있도록 하겠다”고 말했다.

 

한편 김영만 중앙대 교수는 “보안성을 너무 강화하면 산업 발전을 위축시킬 수 있다”며 “스마트홈을 넘어 스마트빌딩·팩토리·시티로 나아가려면 일부 데이터들은 공공성을 갖고 활용할 수 있어야 한다”고 조언했다.

 

윤주범 세종대 교수는 “홈·가전 산업계와 보안업계가 정보를 공유할 수 있는 센터가 필요하다”며 “제품 인증과 품질 평가 등의 과정에 보안 항목과 그 기준을 반영해 보안 인증을 도입할 것을 제언한다”고 말했다.

  

김미연 기자 kmyttw@etomato.com