IoT기기 활용한 디도스공격, 美대륙 절반 인터넷 먹통
‘보안 무풍지대’ IoT해킹 대책마련 시급
‘보안 무풍지대’ IoT해킹 대책마련 시급
모든 사물을 인터넷으로 연결하는 사물인터넷(IoT)이 다양한 서비스로 급속히 일상화되고 있는 가운데 IoT 해킹이 현실화됐다.
IoT 기기를 활용한 해킹으로 미국 대륙의 절반이 인터넷 서비스 장애를 겪으면서 보안대책 없는 IoT가 일반인들의 삶을 직접적으로 위협할 수 있다는 우려가 현실이 된 것이다. 특히 이번 미국 내 IoT 해킹은 해커들에게는 비교적 쉬운 기술로 알려진 디도스(DDoS.분산서비스 거부) 공격에 의한 것. 쉬운 기술로도 보안이 허술한 IoT 기기를 해킹하면 악성코드에 감염된 '좀비 기기'를 수십억개 이상 만들어낼 수 있어 피해는 기하급수적으로 늘어날 수 있다는 허점이 확인된 셈이다.
보안 전문가들은 스마트홈 등 IoT 서비스 기기들이 비밀번호 설정 등 초보적인 보안조차 설정되지 않은 채 보급되는 등 IoT가 '보안 무풍지대'가 되고 있다며 대책 마련이 시급하다고 지적하고 있다.
■인터넷 연결된 사물, 좀비기기 될 수 있어…피해 규모 '상상초월'
23일 외신과 업계에 따르면 아마존과 트위터, 넷플릭스 등 주요 웹사이트가 지난 21일(현지시간) 몇 시간 동안 접속 장애를 겪으며 미국의 절반인 동부지역의 인터넷 서비스가 먹통이 됐다.
이 서비스 장애는 이들 기업의 서버를 갖고 있는 미국 도메인네임서버(DNS) 업체 '딘(Dyn)'에 이뤄진 디도스 공격 탓으로 알려지고 있다. DNS 업체 '딘'은 일반인이 인터넷 주소창에 가고 싶은 사이트의 이름을 입력하면 이를 숫자로 된 인터넷 주소로 바꿔 접속하게 해준다. 그런데 해커가 '딘'에 대규모 디도스 공격을 가해 '딘'의 서비스를 받는 기업들의 웹사이트를 죄다 마비시킨 것이다. 이러한 디도스 공격이 IoT 기기를 활용한 공격일 가능성이 높은 것으로 알려지면서 우리 생활에 널리 활용되고 있는 IoT 기기의 양면성을 우려하는 목소리가 커지고 있다.
최근 국내에서도 기존 PC나 스마트폰이 아닌 가정용 무선공유기와 통신기능이 담긴 냉장고, 세탁기 등 IoT 가전제품을 겨냥한 디도스 공격이 발생하는 등 IoT를 노린 해킹이 점차 확산되고 있는 게 현실이다.
기존 국내 디도스 공격에서는 수천대 규모의 PC가 악성코드에 감염된 '좀비PC'가 돼 전국적 인터넷 접속장애를 유발한 사례가 있다. 그런데 수십만~수백만개에 이르는 IoT 기기가 '좀비기기'가 될 경우 그 피해는 상상을 초월할 것이라는 게 전문가들의 분석이다.
업계에선 인터넷과 연결되는 사물의 규모는 오는 2020년까지 500억개에 달할 것으로 전망하는 등 IoT 시장 확대는 가속화되고 있다. 그러나 IoT 기기만 확산될 뿐 이에 대한 보안대책은 아직 걸음마 수준이라는 게 전문가들의 지적이다.
■해킹 쉬운 IoT, 대책마련 시급
IoT는 기술적으로 해킹에 쉽게 노출돼 있다는 점에서 보안 문제에 철저히 대비해야 한다는 지적이다. IoT 시스템 중 센서를 통해 데이터를 생성하는 '엣지 디바이스(Edge Device)'는 저전력.저사양으로 설계돼 있어 충분한 보안장치를 설치할 수 없다는 설명이다.
이러한 보안취약점을 이용해 엣지 디바이스에 침입하면 바로 상위 단계 시스템에 침입할 수 있어 IoT 해킹과 같은 사이버범죄 발생도 폭발적으로 증가할 것이란 전망이다.
그러나 여전히 기업과 일반인들의 IoT 보안 인식은 낮은 것으로 나타나 대책 마련 필요성이 높아지고 있다. 시만텍이 분석한 자료에 따르면 스마트홈 기기의 패스워드 설정 강도와 상호 인증 또는 전사적 공격에 대한 계정 보호가 부족한 것으로 나타났다. 맥아피 연구소의 위험예측 보고서에서도 보안테스트를 실시한 결과 IoT 기기는 복잡한 암호구성 요구조건을 충족하지 못하는 등의 위협요소가 제기됐다.
국내에선 미래창조과학부와 한국인터넷진흥원(KISA)이 선제적인 대응에 나서기 위해 IoT 정보보호 로드맵을 만드는 등 대책 마련에 고심하고 있다. KISA는 최근 민간기업과 함께 만든 '사이버위협 인텔리전스 네트워크'에서 IoT 관련 사이버공격 대응에 대한 정보를 공유하기도 했다.
업계 관계자는 "IoT 시대에서의 해킹은 실생활과 밀접한 사물로 넓어지면서 단순 피해가 아닌 생명위협 단계로 변질되고 있다"며 "자칫 IoT가 편리한 생활과 산업의 성장을 저해하는 도구로 전락할 수 있어 IoT 산업 발전을 위해서라도 보안 전문인력 양성은 물론 보안 대책을 세밀하게 정비해야 한다"고 말했다.
hjkim01@fnnews.com 김학재 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지