경찰청, 사상 처음 IoT 해킹 수사매뉴얼 배포…"스마트홈 해킹, 집주인 부재 확인도"
#1.2013년 8월 미국 휴스턴의 한 가정집 아기가 자고 있는 방에서 갑자기 욕설이 튀어나왔다. 부모와 따로 자는 아기의 수면상황을 살피기 위해 설치한 CCTV(폐쇄회로화면) '베이비모니터'를 해킹한 해커가 기기를 조작해 욕설을 퍼부었다. 무선인터넷(와이파이) 제품의 약점을 해커가 파고들었다.
#2.미국 보안업체 프루트포인트는 2013년 12월 말부터 2014년 1월 초까지 발송된 악성 스팸메일 75만건 가운데 4분의 1이 통신기능이 있는 TV와 냉장고 등 가전제품에서 발송된 사실을 확인했다. 해커는 추적을 피하기 위해 가전제품 IP(인터넷주소)마다 메일을 10건 이하만 보내도록 했다.
인터넷으로 가전기기와 자동차, 의료기기 등 각종 사물을 연결하는 '사물인터넷'(Internet of Things, IoT) 기술이 발달하면서 해킹위험도 늘고 있다. 해킹의 표적이 컴퓨터와 서버에 집중된 이전과 달리 IoT 시대에는 사람 주변의 모든 물건이 표적이 될 수 있다.
우리 경찰도 변화하는 시대상에 맞춰 사상 최초로 IoT 보안위협 수사 매뉴얼을 만들었다.
9일 경찰에 따르면 경찰청은 최근 IoT 관련 보안위협사례를 분석하고 수사 기법과 유의점 등을 정리한 매뉴얼을 일선 경찰서 등에 배포했다. 국내 IoT 시장규모가 올해 490억원에서 2022년 2290억원으로 4배 이상 급성장이 예상(시장조사업체 가트너 기준)되는 만큼 그에 따른 각종 해킹범죄가 늘어날 것이란 판단에서다.
우선 매뉴얼은 보안 취약점이 늘어날 것이라고 경고했다. 일정 수준 이상 보안 체계를 갖춘 컴퓨터, 서버, 휴대전화 등 기존 통신 수단에 비해 보안 수준이 낮은 각종 기기로 네트워크가 확산되기 때문이다. 와이파이와 블루투스(근거리 무선기술 표준) 등 다양한 통신기술을 사용하면서 일정한 보안수준 유지도 어렵다.
경찰은 IoT에 관한 보안 위협을 크게 △보안수준이 낮은 IoT 기기를 통한 통신망 침입 △IoT 기기를 동원한 분산서비스거부공격(DDoS, 디도스) △악성프로그램 유포 △데이터 침해 △IoT 이용 살상행위 △기간시설 공격 등 6가지로 구분했다.
특히 베이비모니터 해킹같이 가정 내 통신망에 침입할 경우 집주인의 부재를 확인하는 방법으로 범죄에 활용할 수 있다는 우려가 나온다. 디도스 공격에서도 속칭 좀비 PC 수천대에서 수백만대를 동원하는 수준이 아니라 IoT 기기를 동원하면 최대 수십억대를 동원할 수 있다는 설명이다.
독자들의 PICK!
또 IoT 냉장고를 동원한 스팸메일 발송사건처럼 모든 기기는 악성프로그램 유포 도구와 표적이 될 수 있다고 매뉴얼은 경고했다. 실제로 미국과 러시아 등 해외에선 CCTV에서 다리미와 전기 주전자까지 통신기능을 갖춘 가전제품을 악용한 해킹 사례가 보고됐다. 소프트웨어가 설치된 모든 장치는 해킹의 표적이 된다고 경찰은 설명했다.
자율주행자동차와 IoT 기반 의료기기 역시 국내외 연구진의 실험결과 해킹이 가능하다고 지적했다. 아직 범죄사례는 보고되지 않았지만 사람의 생명과 직결된 기기들로 충분한 위험성이 있다는 얘기다.
경찰청 관계자는 "현재까지 국내에서 IoT로 범죄가 발생하지는 않았다"며 "지난해 발생한 'IP 카메라'(다른 기기로 실시간 영상 송출이 가능한 카메라) 해킹사건과 유럽 해킹그룹의 대규모 금융권 디도스 공격 등 IoT를 이용한 범죄가 현실화되고 있어 미리 연구하고 대비하고자 한다"고 말했다.
