“사물인터넷 기기, 100% 뚫린다”
IT 기업들은 저마다 스마트 스피커를 만들어 내고, 생각보다 꽤 많은 양의 제품이 팔린다. 이 예쁜 기기들이 단순히 사람 말을 알아듣고 날씨를 알려주고, 음악을 틀어주는 기능만 하는 것은 아니다. IT 기업들이 차세대 먹거리로 공략하는 사물인터넷(IoT)의 첨병이다. 이들은 기기들이 연결되는 귀요, 입이다.
그렇게 사물인터넷은 우리 삶에 조금씩 스며들고 있다. 모든 것을 연결하는 이 기술이 인간의 삶을 얼마나 편하게 해줄지에 대해서는 별로 의심치 않는 분위기다. 그러나 문제는 이들이 얼마나 안전할지에 대해 논의하는 목소리는 비교적 적다는데 있다.
이같은 경고가 지난달 미국 새너제이에서 열린 ‘넷이벤츠 2017’에서 나왔다. ACG 애널리스트인 로버트 하임이 좌장을 맡은 ‘사물인터넷 보안’ 세션에는 CA테크놀로지스같은 구력있는 소프트웨어 업체부터 짐페리엄 같은 보안 스타트업까지 서로 다른 규모의 기업 임원이 패널로 참여해 사물인터넷 보안을 경고하고 해법을 제시했다.
로버트 하임 애널리스트는 이날 세션을 이끌며 사물인터넷의 불안정성을 우려했다. 지금 당장 눈에 띄게 불거진 문제가 없다고 해도, 시간이 지나 서로 연결된 기기가 많아질수록 더 큰 문제가 생길 것이 분명하다는 이유에서다.
그는 “앞으로 수많은 기기가 네트워크로 연결될 때 일어날 위험은 끔찍하며, 지금 우리가 갖고 있는 문제보다 더욱 풀기 까다로울 수 있다”고 말한 뒤 “앞으로 우리가 대적할 적의 능력은 더 커질 것이기 때문에 사물인터넷 보안에 주의를 기해야 하는 것은 당연하다”고 강조했다.
하임 애널리스트 발언은 포네몬인스튜트가 발표한 자료에 근거한다. 자료에 따르면 수많은 사물인터넷 엔드포인트 디바이스가 충분한만큼의 보안 소프트웨어를 갖고 있지 못하다. 55%의 기업이 보안위협이 자신들의 네트워크 중 어디에서 들어오는지 조차 파악하지 못한다.
기업 뿐만 아니다. 가정에서 문제는 더욱 심각하다. 예컨대 엔드포인트 보안과 관련해 HP 보안 사업부가 조사한 결과를 보면, 일반 사용자들에 인기 있는 사물인터넷 기기의 70%가 해킹하기 쉬운 상태다. 그리고 나머지 30%도, 조금 더 어려울 뿐이지 해킹이 가능하다. 결국 공격에 100% 뚫린다는 얘기다.
하임 애널리스트가 사물인터넷 보안의 심각성을 경고했다면, 패널로 참여한 기업가, 또는 전문가는 이 문제를 어떻게 해결하려고 노력하고 있는지를 제시했다. 사물인터넷이 뚫리기 좋은 방패라면, 보안업계는 최근 방대한 데이터 분석, 머신러닝 등 최신 기술을 도입해 취약점을 개선하려고 노력하고 있다는 것이다.
먼저 방대한 데이터를 확보하고, 이 데이터를 바탕으로 시스템을 학습시켜 문제가 있는 부분을 찾아내는 것이다.
CA테크놀로지스 보안 사업 부문 마크 맥거번 애널리스트는 “CA는 금융기업, 대형 케이블 기업 등의 1억 명 고객에 대한 데이터를 합법적으로 보유하고 있다”며 “우리 시스템에 내장한 머신러닝과 데이터를 통한 강화 학습을 이용해 실제 시스템의 행동을 연구하고 분석함으로써 고객들에 가치를 제공하기 때문에 고객들이 우리가 그들의 데이터에 접근하고, 그 안에서 무언가를 찾을 수 있게 허가하는 것”이라고 말했다.
인공지능(AI) 기반 머신러닝으로 사물인터넷 보안 문제에 접근하는 것은 스타트업도 마찬가지다.
짐페리엄은 모바일 보안 회사인데 2010년부터 머신러닝을 자사 제품과 기술에 녹이고 있다. 이 회사가 강조하는 것은 엔드포인트 단말기 그 자체보다 단말기 위에서 돌아가는 보안 소프트웨어의 중요성을 인식하는 것이다. 수많은 제조업체가 사물인터넷 기기를 만드는데, 하드웨어 제조업체들이 보안을 책임지지는 않는다. 어떤 단말기이든 상관없이 어느 부분에서 문제가 일어났는지를 알고 보안을 책임질 수 있도록 하는 기술은 소프트웨어 회사가 갖고 있다.
존 미켈슨 짐페리엄 최고제품책임자(CPO)는 “우리는 엔드포인트 디바이스를 만드는 것이 아니라 소프트웨어를 그 위에서 돌게 한다”며 “사물인터넷 보안 부문에서 ‘인식’은 가장 중요한 부분이다. 우리는 이를 해결할 수있는 보안 솔루션을 구축하고 시장에 나간다”고 말했다.
사물인터넷 기기를 만드는 기업들이 보안에 대한 위험 경각성을 크게 갖고 있지 않는 것이 문제가 되며, 신뢰를 구축하기 위해서는 하드웨어 수준에서 보안에 신경을 써야 한다는 주장도 나왔다.
사물인터넷 자산용 보안 데이터 액세스, 관리 솔루션 공급사 란트로닉스 최고 기술책임자 산지브 다틀라는 “우리는 신뢰할 수 있는 플랫폼 모듈(TPM)을 우리의 제품안에 사용하고 있다”고 강조했다.
그는 이어 “(사물인터넷 보안을 하기 위해서는) 엄청난 규모의 인프라가 필요한데, 실제로 네트워크에 이를 구현하는 것은 라즈베리 파이에서 보안을 강구하는 것과는 차원이 다른 이야기”라며 “보안성을 높이기 위해서는 디바이스에 TPM을 사용하고 펌웨어 보안성도 확보해야 하며, 암호화 키를 적용해 오차없이 작동하도록 만들어야 한다. 이는 매우 어려운 일인 것은 사실”이라고 덧붙였다.
글. 바이라인네트워크
<남혜현 기자> smilla@byline.network
