스마트TV·냉장고 이용해 스마트폰 해킹까지

[강헌]

[산업별 보안] 스마트폰·가전
　

“피 냄새를 맡은 상어 떼가 사물인터넷(IoT) 기술이 접목된 가전제품 주변을 맴돌고 있다.” 영국의 보안기업 소포스랩스의 보안 연구 책임자인 제임스 린의 경고다. 스마트TV와 스마트에어컨 등 IoT 기술 접목으로 자체적인 운영체제를 갖춘 가전제품이 급속히 늘면서 보안에도 비상이 걸렸다.

해커가 침입할 수 있는 네트워크의 ‘빈틈’도 함께 늘었기 때문이다.

물론 사용자의 ‘스마트냉장고’에 우유나 고기가 얼마나 남았는지 궁금해서 해킹을 감행하는 경우는 아마 없을 것이다. 하지만 관련 해킹 피해가 해당 가전제품에만 미칠 것으로 생각하면 큰 오산이다.

지난 1월 미국 캔자스주의 한 소프트웨어 개발자가 스마트TV에 영화 시청 앱을 다운로드 한 후 랜섬웨어에 감염됐다. FBI를 사칭한 현금 요구 메시지가 TV에 표시되어 있다. /트위터 캡쳐

IoT 기기 편리성만 추구, 보안엔 취약

지난 3월에는 폭로 전문 웹사이트 ‘위키리크스’가 미국 중앙정보국(CIA)이 애플·삼성 등 글로벌 정보기술(IT)기업들의 스마트폰과 스마트TV 등 가전 기기에 악성코드를 심어 일반 소비자들을 전방위적으로 도·감청했다고 폭로했다.

당시 위키리크스는 CIA 사이버정보센터의 기밀문서 8761건과 첨부문서 943건을 공개하면서, CIA가 영국 정보기관 MI5와 함께 개발한 악성코드 ‘우는 천사(Weeping Angel)’를 통해 2014년 삼성전자 스마트TV를 해킹했다고 주장했다. 이 악성코드는 정상적인 TV 애플리케이션처럼 작동하면서 주변 음성만 포착하거나, ‘위장 전원 꺼짐’ 기술을 활용해 TV가 꺼져 있을 때도 주변의 소리를 녹음하는 기능을 가진 것으로 알려졌다.

이에 대해 이원진 삼성전자 부사장은 국내 언론 인터뷰에서 “관련 보도 이후 문의가 많이 들어왔지만 실제로 실현 가능성이 없는 이야기”라며 “스마트TV의 보안은 해킹 이슈와 무관하게 전부터 공들여온 부분”이라고 말했다. CIA는 문서의 진위에 대한 언급을 거부했다.

2014년에는 한 해커가 인터넷 연결 기능을 갖춘 냉장고를 해킹해 사용자 몰래 스팸메일을 보내는 창구로 활용한 사건이 발생하기도 했다. 2014년 서울에서 열린 국제 사이버 시큐리티 콘퍼런스(ISEC)에서는 로봇청소기에 탑재된 카메라를 통해 집 안 구석구석을 촬영한 영상을 외부로 전송하는 해킹 기술이 시연되기도 했다.

스마트TV를 노린 ‘랜섬웨어’ 공격도 잦아졌다. 얼마 전 일본에서는 스마트TV의 화면을 정지시키고, 금전을 요구하는 협박문을 내보내는 신종 악성코드가 발견됐다.

문제는 IoT 접목 초기에 대부분의 제조사가 새로운 기술이 가져올 편의성에만 지나치게 집중한 나머지 보안 관련 대비에 소홀했다는 점이다. 보안 전문가들은 IoT 서비스 기기들이 비밀번호 설정 등 초보적인 보안조차 설정되지 않은 채 보급되는 등 IoT가 ‘보안 무풍지대’가 되고 있다고 지적한다.

이에 따라 해킹 공격에 취약한 IoT 기기들을 동원한 디도스(DDoS·분산서비스 거부) 공격도 기승을 부리고 있다.

지난해 9월에는 CCTV, 네트워크 스토리지(NAS), 공유기 등 IoT 기기 10만 대가 ‘미라이(Mirai)’ 악성코드에 감염된 뒤 디도스 공격에 동원되면서 아마존과 트위터, 넷플릭스 등 주요 웹사이트에 침투해 미국 동부 인터넷의 절반가량이 두 시간 동안 마비되는 초유의 사태가 벌어졌다.

스마트폰 해킹해 사용자 사생활 들여다봐

IoT 기술을 타깃으로 한 보안 위협이 증가하면서 각국 정부는 IoT 보안에 관한 기준 마련에 착수했다. 미국은 국토안보부가 나서 내년까지 관련 기준을 도입할 계획이다. 유럽연합(EU)과 중국은 물론 세계이동통신사업자협회(GSMA) 등 주요 기구도 관련 기준 마련에 나선 것으로 알려졌다. 우리나라는 한국인터넷진흥원(KISA)이 IoT 기기를 대상으로 보안인증 의무화를 추진하고 있다. 이르면 내년부터 미래창조과학부와 KISA는 IP카메라(홈캠) 해킹 등 최근 불거진 IoT 기기의 보안상 취약점을 개선하고 보안사고를 예방하기 위해 IoT 기기 보안인증제도를 도입한다는 방침이다.

IoT 기기가 해킹될 경우 그와 연동된 스마트폰 해킹으로 이어질 가능성도 있다. 업무와 쇼핑, 은행 거래 등 일상생활의 얼마나 많은 기록이 스마트폰에 남아 있는지 생각하면 보통 심각한 문제가 아니다. 이와 때를 같이해 스마트폰 해킹 수법도 갈수록 지능화되고 있다.

영국 뉴캐슬대 연구팀은 지난 4월 스마트폰에 탑재된 센서를 해킹해 사용자가 스마트폰 화면을 터치하거나 스크롤하는 등의 움직임을 읽어낼 수 있다고 발표했다. 이를 통해 비밀번호를 알아내는 것도 가능하다는 것. 이메일이나 문자메시지 등으로 스마트폰에 악성코드를 심어 스마트폰 카메라와 마이크 등을 해킹하는 수법은 어느새 고전이 됐다.

스마트폰은 온종일 가지고 다니며 사용하기 때문에 이를 통해 축적된 정보량도 PC에 비할 수 없이 많다. 해커들에게는 더 없이 매력적인 먹잇감인 셈이다.

악성 프로그램으로 스마트폰을 해킹하면 전화 통화 기록과 인터넷 접속 내역, 내려받은 파일 목록, 문자 연락 내용 등 사용자의 일거수일투족을 파악할 수 있다. 또 원격조종을 하듯 스마트폰에 명령을 내릴 수도 있다.

내장된 카메라를 이용해 사진이나 동영상을 촬영해 실시간으로 해커의 컴퓨터로 전송하는 것도 가능하다.

스마트폰으로 금융결제 중간에 금품을 가로채는 것도 불가능한 일은 아니다.

---

Plus Point

통신 3사 IoT 보안 ‘비상’

한 모델이 SK텔레콤의 ‘양자암호통신’ 기술을 적용한 제품을 시연하고 있다. /SK텔레콤

스마트폰 기반으로 작동하는 IoT 기기의 확산으로 국내 이동통신사도 보안 강화를 위해 절치부심 중이다.

LG유플러스는 가정용 IoT 관련 보안 사업에 주력하고 있다. 지난해 ADT캡스 등 보안 업체와 공동으로 제작한 ‘IoT캡스’ 가 대표적인 제품이다. IoT캡스는 현관잠금·침입감지·경보알림·출동경비 등의 보안은 물론, IoT를 통한 스마트폰 원격제어까지 가능하다.

고객 요청에 따라 ADT캡스 출동 서비스도 제공된다. SK텔레콤은 차세대 보안 기술로 불리는 양자암호 기술을 IoT 기기에 적용하기 위한 핵심 기술을 개발 중이다. 양자암호 기술은 분자보다 더 작은 양자(quantum)를 활용한 암호화 기술이다.

SK텔레콤은 6년간의 연구·개발을 통해 관련 기술을 개발했다. 이 기술은 글로벌 통신장비 업체 ‘노키아’ 의 차세대 전송 장비에도 탑재될 예정이다.

KT는 한국인터넷진흥원(KISA)과 함께 홈 IoT 기기 보안 강화를 위한 보안시험 수행, 보안인식 제고를 위한 교육, 보안기술 정보교류를 지속해서 실시하고 협력사의 보안역량을 높일 수 있도록 지원할 계획이다.