대학프린터 통해 해킹‧‧‧교수‧학생 계좌 돈 무단 인출
|
도입기에서 성장기로 전이하고 있는 사물인터넷(IoT) 시장은 현재 관련 보안 시스템 기술이 완전히 갖춰지지 않은 상태다. IoT 기기의 보안을 위협하는 요인은 무엇이 있을까. 미국 경제전문지 포브스는 최근 피싱이나 각종 스파이웨어 등 다양한 위험 형태들이 IoT 기기들을 위협하고 있다고 보도했다.
미국 메릴랜드대·버틀러대·아이오와주립대·인디애나대 등은 최근 몇 년 동안 교육을 목적으로 이용되는 IoT 기반 노트북과 프린터 등을 해킹 당해왔다. 해커들은 관련 기기에 연결돼 있는 인터넷 네트워크에 잠입했고 학생과 교수들의 개인정보를 무단으로 수집했다. 학교에서 쓰는 공유 PC에 스파이웨어를 설치하고 주로 개인 이메일이나 소셜미디어 등에서 아이디와 패스워드를 추적하는 방법을 이용했다.
일부 해커들은 교수들의 논문 등 저작권이 있는 정보를 유출했다. 학생과 교수의 계좌에서 피싱 기법으로 돈을 무단으로 인출하기도 했다. 프랑스 IT 보안전문업체 알카텔루슨트의 IT 전문가 닐 틸리는 “대학교는 회사나 가정보다도 훨씬 더 다양한 이용자들이 함께 네트워크를 공유하고 수많은 지적 재산권이 넘나드는 곳이기 때문에 해커들의 주요 타깃이 되고 있다”며 “특히 나이가 어린 학생들의 경우 보안에 대한 의식이 약하기 때문에 문제가 더 심각하다”고 짚었다.
IoT 관련 보안문제는 비단 각급 학교 등 교육시설에만 국한되지 않는다. 직장이나 가정에서도 하나의 아이디나 패스워드만을 쓰는 유저들이라면 해커들의 주된 공격 대상이 될 수 있다. 신문은 회사 전자제품들은 물론이고 가정에서 주로 이용되는 스마트 냉장고, 건조기, 오븐 등 다양한 주방용 IoT 제품들이나 몸무게나 혈압 등을 체크할 수 있는 건강 관련 기기에서 단일한 계정을 쓰는 것은 주의해야 한다고 강조한다.
모바일을 통한 인터넷 사용이 대중화되면서 무선랜 기술인 와이파이를 이용한 보안 문제도 날로 심각해지고 있다. 글로벌 보안 전문업체 룩시큐리티의 보안 전략가 루크 클링크는 “공공기관이나 사설기관에서 아이디를 빌려 와이파이 접속을 하는 일이 아무렇지 않게 발생하고 있다. 해커들은 프린터를 마음대로 쓸 수도 있고 네트워크 케이블을 당겨 직접 자신의 랜에 연결하는 상황이 발생하고 있다”며 “정부나 기업 측에서는 중요하면서도 민감한 시스템이나 네트워크를 포함하고 있는 영역에는 와이파이 접근 제한 시스템을 보다 철저히 관리할 필요도 생기고 있는 상황”이라고 말한다.
모바일, 온라인 상거래에서 기존의 신용카드 정보를 디지털 토큰으로 전환하는 ‘토큰화 (tokenization)’도 IoT 해커들의 타깃 대상이다. 미국에서는 해커들이 IoT를 이용한 기기들에 접속해 토큰화로 이용한 지불 내역을 모두 감시하고 필요한 계좌에 접속해 계좌를 인출하는 등 피해 사례도 발생하고 있다. 신문은 애플이 지난해 내놓은 ‘애플 페이’도 토큰화 방식을 띠고 있어 위험 가능성이 없지는 않을 것으로 보인다고 지적했다.
마지막으로 BYOD(Bring Your Own Device)도 IoT 이용의 위험 요인으로 떠오르고 있다. BYOD는 개인 소유의 태블릿PC, 스마트폰, 노트북 등의 정보통신 기기를 회사 업무에 이용할 수 있게 하는 서비스다. 2009년 인텔이 처음 도입했다. 직원들은 업무용과 개인용으로 따로 구분할 필요가 없어 생산성을 높일 수 있다. 반대로 회사는 기기 구입비용을 줄일 수 있는 장점이 있다. 그러나 해커들이 개개인들의 PC에 접속하면 기업 정보가 쉽게 노출될 수 있다는 점에서 IoT 기기들의 보안을 위협하는 형태로 볼 수 있다.
이 같은 보안 위협 형태들 때문에 미국 기업들은 업무에 IoT 이용을 제한하고 있다. 아직까지 도입기 수준에 머물러 있는 IoT 시장에 보안에 대한 완벽한 시스템 기술이 구축되지 않았기 때문이다. 미 보안 전문 업체 인가디언스의 보안전문가 돈 베버는 “대다수의 회사에서는 비즈니스 요건을 충족시키는 새로운 기술들에 IoT가 이용될 때에는 다른 부서와의 연동성을 최소화하고 있다”고 말했다.
미국은 최근 국가적 차원에서 IoT의 보안 취약성에 대처할 수 있는 대대적인 조치 마련에 나섰다. 미 연방거래위원회(FTC)는 지난달 27일 IoT가 데이터 보안 문제와 사생활 위험 등의 문제를 일으키면서 앞으로 인류를 최악의 사태로 이끌 수 있다고 경고했다. FTC는 각 기업에게도 사물인터넷의 위험성을 사후적인 개념으로 접근하지 말고 인터넷 디바이스 및 센서의 개발 단계에서부터 기본적인 데이터 안전 조치를 취해야 한다고 촉구했다. 이디스 라미레즈 FTC 위원장은 “인터넷에 연결된 모든 기기들이 해킹의 위협을 당할 수 있다는 것을 알아야 한다”며 “최근 기업들이 IoT 소비자로부터 수집하는 정보의 양을 제한하고 또한 데이터를 보유하고 있는 시간을 제한할 것을 권고하는 방안을 구상 중”이라고 말했다.
권익도 기자 bridgeuth@viva100.com
