홈IoT 노리는 해킹 급증…피해 우려에도 쉬쉬하는 제조사

홈IoT 노리는 해킹 급증…피해 우려에도 쉬쉬하는 제조사
 
스마트홈시장 2019년 23조 전망
보안 허술 땐 사생활 노출 위험
계정 탈취 원격 조정 도·감청도
‘홈IoT 보안가이드’ 강제성 없어
“개발단계부터 보안 강화에 신경
취약점 발견시 즉시 공개 해야”
“주기적인 패치 업데이트 필요” 
 
홈 사물인터넷(IoT) 시대가 열리고 있는 가운데 이를 노린 해킹이 급증하고 있어, 사용자 피해가 우려된다. 특히 취약점 발견 시 기업들은 이를 내부적으로만 감추기에 급급해 사용자 피해가 더 커질 수 있다는 지적이 나온다.
정부는 지난해 9월 마련한 ‘사물인터넷(IoT) 공통 보안가이드’에 이어 지난 7월 개발자들이 설계단계부터 보안성을 확보하기 위한 ‘홈·가전 IoT 보안가이드’를 발표했지만 강제성이 없다. 기업들이 원가 상승 등을 이유로 채택하지 않아도 막을 방법이 없기 때문이다.
1일 한국스마트홈산업협회에 따르면 국내 스마트홈 시장은 지난해 12조5000억원에서 오는 2019년 23조원에 이를 전망이다. 홈IoT는 모바일 기기, 가전 등을 인터넷과 통신으로 연결해 정보를 수집하고 교환하는 플랫폼이다. 집 밖에서 스마트 기기를 이용해 집 안 가전제품을 제어하고 통제할 수 있어 편리하지만, 보안이 허술할 경우 자칫 개인 사생활이 고스란히 노출될 위험이 있다.
세계적으로 IoT 보안표준이 아직 없고 제조사들의 보안 투자가 부족해 해킹 위험이 크다는 지적이다.
실제 보안업체 체크포인트는 최근 LG전자의 홈 허브 IoT 기기인 ‘스마트씽큐'(AI 스피커)에서 보안 취약점을 발견했다. 해커들이 스마트씽큐 모바일앱과 클라우드 애플리케이션의 취약성을 활용, 원격 로그인한 후 사용자 계정을 탈취해 진공청소기와 내장 비디오카메라를 제어할 수 있는 것으로 나타났다. LG전자의 가전제품을 사용하는 수백만명 중 최신 패치 업데이트를 하지 않을 이들은 아직도 위험에 노출돼 있다. LG전자측은 지난 9월 문제를 인지한 후 보안 취약점 조치를 마무리했다.
비단 LG전자만의 문제가 아니다. 위키리크스가 지난 3월 공개한 미 정부 기밀문서에 따르면 CIA(미 중앙정보부)가 삼성전자 스마트TV의 취약점을 활용, 악성코드를 심고 원격조정해 일반인들을 도·감청한 것으로 드러났다. 지난 4월에는 이스라엘 보안업체 ‘에쿠스소프트웨어’가 삼성 스마트폰 일부와 스마트TV 등에 사용되는 타이젠 운영체체(OS)에 40건의 제로데이(알려지지 않은 악성코드) 취약점이 있다는 사실을 밝혀냈다. 삼성전자는 오는 2020년까지 자사 가전제품에 IoT, AI 등 스마트 기능을 탑재할 계획이다.
김덕수 펜타시큐리티 전무는 “IoT 기기 대부분이 사용자가 패치 업데이트를 하도록 하는 사용자 책임 방식으로 돼 있어, 사용자가 주기적인 최신 버전 패치 업데이트를 하는 방법밖에 없다”면서 “최근 사례에서 볼 수 있듯이 해커들은 개별 기기의 취약점보다는 IoT와 연결되는 클라우드 환경의 취약점을 노리고 있어, 제조사들은 애플리케이션·디바이스·클라우드 세 요소 모두를 챙겨야 하는 상황”이라고 말했다. 이어 김 전무는 “대형 제조사는 조직이 커 이들 팀이 별도로 있는데, 세 요소를 모두 점검할 수 있는 조직을 갖출 필요가 있다”고 덧붙였다.
특히 최근 SKT, KT 등 통신사와 네이버, 카카오 등이 AI 스피커를 경쟁적으로 내놓고 있어서 공격 대상은 더 늘어났다. 유럽연합(EU) 산하 유럽소비자단체(BEUC)는 지난달 보고서를 통해 어린이용 스마트워치가 해킹에 취약해 해커에게 통제당하고 GPS를 추적당할 위험성이 있다고 경고하기도 했다.
김도원 한국인터넷진흥원(KISA) 취약점분석팀장은 “기업들은 보안 가이드라인을 철저히 지켜 개발단계부터 시큐어코딩 등 보안을 신경 쓰며 제품을 생산해야 한다”며 “특히 버그 발견 시 빠른 패치와 배포가 중요한데 기업 대부분이 외부 공개를 꺼리고, 공개하더라도 이를 최소화해 이유도 모르는 패치가 대부분인데 적극적으로 공개하는 식의 자세 전환이 필요하다”고 말했다.
 
[기사 원문 보기 – 디지털타임스 http://www.dt.co.kr/contents.html?article_no=2017110202100351041001&ref=naver]