개인정보보호, 소프트웨어 정책
사물 인터넷(Internet of Things, 약어로 IoT)은 영국의 케빈 애쉬튼이 1999년도에 처음으로 사용한 용어로, 각종 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술을 의미한다. 여기서 사물이란 가전제품, 모바일 장비, 웨어러블 컴퓨터 등 다양한 임베디드 시스템들로 이루어 진다. 사물 인터넷에 연결되는 사물들은 자신을 구별할 수 있는 식별자를 통하여 기존의 컴퓨터와 같이인터넷에연결되며, 외부환경에 대한정보수집을위한 센서를 내장할 수 있다. 이렇게사물들로 부터 수집한 정보를 기반으로 다양한 서비스의 제공이 가능하게된다. 그러나 사물 인터넷에 연결된 사물들은기존 IT장비와 마찬가지로 해킹의 대상이 될 수 있다.
정보 기술 연구 및 자문회사 가트너에 따르면 2009년까지 사물 인터넷 기술을 사용하는 사물의 개수는 9억개였으나 2020년까지 이 수가 260억 개에 이를 것으로 예상된다. 이와 같이 많은 사물이 연결되면 인터넷을 통해 방대한 데이터가 모이게 되는데, 이렇게 모인 데이터는 기존 기술로 분석하기 힘들 정도로 방대해진다. 이것을 빅 데이터라고 부른다. 따라서 빅 데이터를 분석하는 효율적인 알고리즘을 개발하는 기술의 필요성이 사물 인터넷의 등장에 따라 함께 대두되고 있다.
생활의 편리함을 주는 사물인터넷
우리 일상의 편리함은 스마트 홈을 예를 살펴보면 가전제품에 사물인터넷 기능을 접목시키면 퇴근시간에 맞추어 세탁기를 작동시키면 세탁기가 스마트폰에 상태 정보를 알려주며 집에 도착하면 세탁물을 정리만 하면 되고, 집안 환기도 외부 센서에 의하여 쾌적한 바람이 불면 창문이 알아서 열려 실내를 환기하고 또한 비가오면 열려있는 창이 스스로 닫을 수 있다. 또한 로봇청소기도 이웃에 소음피해를 최소화하는 시간에 원격지에서 작동시킬 수 있다. 이뿐만 아니라 방범 분야, 헬스케어 분야, 육아분야 등 다양한 서비스가 가능하다.
사물 인터넷(IoT)도 피해갈 수 없는 보안 문제
사물 인터넷(IoT)를 통한 보안 위협 사례로는 2012년 ‘블랙햇’이라는 보안 대회에서 800M 밖에서 IoT를 이용한 의료기기인 인슐린 펌프기기에 접근한 뒤 악의적으로 조작하여 치명적인 복용량을 주입시키도록 해킹할 수 있는 것을 증명했습니다.
미국 국가안보국(NSA) 출신 해커인 찰리 밀러와 보안회사 IO액티브의 크리스 발라섹 연구원은 지프 체로키를 16㎞ 떨어진 거리에서 시험적으로 해킹하는 동영상을 찍어 지난달 21일 유튜브에 올렸다. 이들이 노트북으로 명령을 내리자 차량 라디오에 전원이 들어왔다. 앞유리에 세정액을 뿌려 시야를 가리자 운전자의 얼굴은 사색이 됐다. 차량은 결국 도로를 벗어나 길가 구덩이에 처박혔다.
이들은 2년 전에도 포드 이스케이프와 도요타의 프리우스를 해킹했다. 그때만 해도 차량은 인터넷에 연결돼 있지 않았다. 노트북과 차량을 유선으로 연결해야만 했다. 이번엔 먼 거리에서 해킹이 가능했다. 피아트 크라이슬러 차량마다 탑재된 ‘유커넥트’ 시스템을 파고들었다. 인터넷에 연결돼 운전자에게 각종 정보를 실시간으로 알려주는 시스템이지만, 해커가 차량을 장악할 수 있는 ‘뒷문’이 되고 말았다.
미국 GM은 지난달 30일 차량에 문제가 생겼을 때 구조요청을 보내는 통신 시스템이 해킹에 취약하다는 지적을 받고 부랴부랴 소프트웨어를 최신형으로 교체했다. 전기차인 테슬라 모델S도 이달 초 보안전문가의 해킹에 도로 위에서 갑자기 멈춰서는 아찔한 순간을 노출했다.
특히 사물 인터넷(IoT)의 특성상 PC나 모바일 보다 보안프로그램의 적용 등에 어려운점이 많아 더욱 보안에 대하여 취약성을 나타내고 있으며, 또한센서의 오동작에 대한 신뢰성이 확보되지 안으면 사생활의 노출, 범죄에 악용, 재산상의 피해 및 신체적인 위험에치명적인 영향을 준다.
보안 전문업체인 아카마이(Akamai)의 데이브 루이스(Dave Lewis)는 “사물인터넷의 확산을 바라보는 건 마치 산 밑에서 나를 향해 달려오는 눈사태를 보는 기분”이라며 “재산이나 생명의 손실을 걱정하는 게 당연한 반응 아니겠느냐”고 말한다. 문제는 그 산사태가 가는 방향에 누가 혹은 무엇이 있냐는 것으로?
“아직 우리는 기존의 보안 문제들도 다 해결하지 못한 상태입니다. 여기에 사물인터넷이 비집고 들어오고 있어요. 눈사태처럼 맹렬하게요. 눈사태가 일어나는 방향으로 걸어가는 게 맞는 걸까요? 가던 걸음도 멈춰야죠. 사물인터넷 시대에 기업에게 가장 필요한 건 ‘전원 꼽아도 될까? 이걸 사용해도 될까?’하는 주춤거림과 망설임입니다.” 이유는 사물인터넷이 연결되면 그 만큼 위험 요소가 늘어나기 때문이다. (copyrighted 2015. ubm-tech. 117153:0515bc)
데이브 루이스(Dave Lewis)가 말하는 위험 요소
- DNS 공격
사물인터넷 공격을 통해 DNS 공격이 들어올 수 있다. 이에 대해서는 서버의 패치를 부지런히, 나오는 즉시 하는 것으로 어느 정도는 예방할 수 있다. DNS 공격은 피해의 확산이 걷잡을 수 없는 게 보통이라 예의 주시해야 한다. 이는 즉 여태까지 잘 해오지 않아왔던 패치에 대한 제도 마련을 의미하기도 한다.
- 개인 사물인터넷 기기 들고 오는 직원
BYOD 시대가 끝나고 BYOIoT 시대가 온다. 직원들이 사무실에까지 들고 와 사무실 네트워크에 연결시킬만한 사물인터넷 기기로는 스마트워치, 핏비트 등이 있다. 이럴 때 위험해지는 건 사용자 본인의 개인정보다. 그런데 개인정보가 기업 네트워크에서부터 도난 당했다면, 회사 네트워크 내에 있는 회사의 정보 역시 위험하다는 뜻이 된다. 루이스는 “BYOIoT의 상황에서는 데이터가 곧 보안 경계선이다”라며 데이터 보안의 중요성을 강조한다.
- 보안 설정이 너무나 느슨하게 된 기기 소프트웨어
IoT 기기들에는 거의 필수적으로 소프트웨어가 장착된다. 기업은 누가 IoT를 가지고 회사에 들어오든지 이 소프트웨어를 잘 지켜봐야 한다. 대부분 사용자의 편의를 위해 어지간한 것들을 전부 ‘허용’하는 것으로 디폴트 설정되어 있을 것이기 때문이다. 자동으로 공개 와이파이에 연결하게 하고, 어느 웹 사이트나 거르지 않고 통과시켜 주고, 어떤 접근이라도 허용하는 식으로 말이다.
루이스는 “이 소프트웨어 위에 사용자가 커스텀 소프트웨어를 알아서 설치하도록 하는 기기도 많이 등장할 것”이라며 “이러면 문제의 소지가 기하급수적으로 증가하는 꼴”이라고 경고한다.
- 걷잡을 수 없는 데이터의 흐름
사물인터넷 기기가 네트워크에 하나둘 이어지기 시작하면 데이터의 급증 때문에 전에 없던 혼란이 있을 것으로 예상된다. 사물인터넷 기기 자체가 수많은 정보를 모으고 생성하기 때문이다. 그러므로 스위치를 성급하게 켜지 말고, ‘여기서 생성되고 모이는 데이터를 우리 네트워크가 감당할 수 있는가?’를 검토하는 편이 좋다. 그 많은 데이터를 어디에 저장하고, 어떻게 관리할 것인지 대책을 마련한 후에 코드를 꼽아도 늦지 않다. “성급히 연결한 사물인터넷 기기 하나 때문에 데이터 청소부가 될 수도 있습니다.”
- 사물인터넷과 정보 보관과 법
그런데 사실 위 4번과 관련하여 문제가 하나 더 있다. 사물인터넷으로 수집한(혹은 수집된) 정보를 저장하는 게 합법적이냐는 거다. 프라이버시가 걸려있기 때문이다.
“독일과 같은 경우, 프라이버시 관련 법이 매우 엄격하여 아무 데이터나 저장할 수 없다. 그런 곳일수록 사물인터넷 기기에 모인 정보가 어떤 성격을 가지고 있는지 꼼꼼히 분석하는 과정이 필요하다.”