# 인터넷에 연결된 기기는 얼마나 빨리 악성 소프트웨어인 ‘멀웨어’에 감염이 될까? 보안회사 맥아피는 이를 실험해보기 위해 가정용 비디오 레코더(DVR)를 한대 구매, 전원을 켜고 네트워크에 연결했다. 결과는 충격적이었다. 이 DVR에 멀웨어가 깔리는 데 든 시간은 1분이 채 안 되는 54초에 불과했다.

# 미국의 한 카지노에서는 실내 인테리어를 위해 수족관을 전시해놨다. 이 수족관 안에는 수온을 맞추기 위한 커넥티드 온도계가 설치돼 있었다. 누구도 수족관 안의 온도계에 보안 소프트웨어를 깔아야 한다는 생각은 하지 못했다. 그러나 이 안일한 태도가 큰 문제를 불러일으켰다. 해커가 온도계에 연결된 네트워크를 타고 카지노의 서버에 침투, 방문객들의 데이터를 빼내 달아난 것이다.

두 사례가 흥미로운 이유는, 평소 보안의 중요성을 느끼지 못했던 기기가 언제든 해킹의 취약점이 될 수 있다는 걸 알려주기 때문이다. 맥아피가 지난해 발간한 보고서에  따르면, 커넥티드 기기 해킹을 포함한 사이버 범죄의 피해액이 세계 GDP의 0.8%에 달하는 6000억 달러 규모다.

맥아피에서 최고 컨수머 보안 부문 에반젤리스트로 활동하는 게리 데이비스가 한국을 방문했다. 세계 지식 포럼에 강연자로 참석하기 위한 방한인데, 짬을 내 기자 간담회를 갖고 ‘IoT와 모바일 보안이 한국에 미치는 영향’을 설명했다. 24일 서울 장충동 그랜드 엠배서더 서울 풀만에서 만난 게리 데이비스는, 기술 전도사인 에반젤리스트 답게 달변이었다. 그는 디지털 보안 전문가로서 현재 맥아피에서 부사장 직책을 겸임하고 있기도 하다.

맥아피 게리 데이비스 에반젤리스트. 왼쪽은 송한진 맥아피코리아 지사장.

게리 데이비스 부사장이 이날 던진 메시지는 크게 두 가지로 요약된다.

첫째는, 모든 기기가 인터넷에 연결되면서 생활이 편리해졌지만, 그만큼 보안 취약점도 늘었다는 것이다. 세계적으로 인터넷에 연결된 디지털 기기가 120억대를 넘어섰고, 그 수가 매 분마다 4800대씩 늘어난다. 그만큼 네트워크를 활용한 공격의 대상이 확장된다는 뜻이다.

맥아피가 매년 발간하는 미래 예측 보고서에서도 앞으로 해커들이 인터넷과 연결된 장비에 랜섬웨어를 심는 데 공격의 초점을 맞출 것으로 전망한다.  예컨대 아침에 자동차를 타고 출근하다가 랜섬웨어 공격을 받게 되고, 해커에 돈을 지불하지 않으면 1m도 움직이지 못하는 상황이 충분히 벌어질 수 있다는 것이다.

두 번째는 5G 시대가 도래하면서 인터넷에서 데이터를 내려받는데 드는 지연 시간이 없어진 만큼, 해킹 공격 역시 빨라져 ‘털린 지도 몰랐는데 털리는’ 사태가 더 많아질 것이라는 염려다.

데이비스 부사장은 “문제점이라고 한다면 (기업이) 이렇게 제조되는 장비들을 시장에 얼마나 빨리 출시하느냐, (어떤) 편의성을 줄 것이냐에만 집중한다”면서 “이 장비를 보호하거나 소비자에 (보안) 교육을 한다든지에 대해서는 신경을 쓰지 않는 것”이라고 지적했다.

한국도 늘어나는 디지털 해킹 공격에서 자유로울 순 없다. 지난 8월 중순 공개된 스파이웨어 ‘목하오(MoqHao)’는 구글플레이에 한동안 버젓이 ‘한국 정부가 만든 보안 소프트웨어’로 올라와 있었다.

데이비스 부사장은 목하오를 “(해커에게) 위치 정보나 전화 통화 내용, 온라인 쇼핑 정보, 문자 메시지 내용 등을 전달하는 스파이웨어”라고 설명하면서 “이 스파이웨어는 너무 잘 만들어져서 맥아피가 발견, 알리기까지 구글에서도 스파이웨어인지 인지 못 하고 공식 앱스토어에 계속해 올려져 있었다”라고 말했다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

개인이나 가정 외에도, 기업에서도 커넥티드 장비를 사무실에 도입하면서 보안의 어려움을 겪는다. 네트워크에 연결된 장비는 늘어나는데 그만큼 빠르게 보안을 도입하지 못하고 있어서다. 기업의 의사결정자 중 75%가 커넥티드 장치에 보안이 중요하다는 걸 인지하고 있지만, 기업의 80%는 보안에 대해 준비하지 못하고 있다는 조사 결과도 있다.

이와 관련해 데이비드 부사장은 “커넥티드 장비가 가져오는 장점은 쉽게 이해할 수 있기 때문에 빠른 속도로 도입이 되고 있는데 너무 많은 옵션이 있어 어떻게 잘 보호할 수 있는지 파악이 되지 않는다”면서 “앞으로 사이버 보안과 관련해 일자리가 늘어날 것인데 반해 (보안 전문가의) 트레이닝과 고용 속도가 빨라지지 않아 채워지지 않는 자리가 300만 개가 될 것이라 본다”고 말하기도 했다.

보안 문제를 해결하기 위해서는 커넥티드 장비를 만드는 제조사의 책임이 중요하다는 점도 짚었다. 인터넷에 연결된 장비에 보안 통제가 이뤄지지 않고 있고, 제조사가 펌웨어 업데이트 노력을 기울이지 않아 디지털 가전 등 오래 쓰는 장비에 보안 위험이 더 클 수 있다는 경고다. 보안 문제의 심각성에 대해 소비자 교육이 제대로 이뤄지지 않고 있다는 얘기도 했다. 장비를 처음 출시할 때 설정한 ID와 패스워드조차 바꾸지 않고 그대로 사용해 해킹의 취약점으로 활용되기도 한다. 소비자에 대한 보안 교육으로 어느정도 예방할 수 있는 문제다.

다만, 긍정적인 부분으로는 업계에서 보안에 대한 혁신 모멘텀이 나타나고 있다는 점을 꼽았다. 반도체 제조업체가 하나의 프레임 워크를 만들어서, 제조하는 장비가 얼마나 안전한지 확인하는 모멘텀이 발생하고 있다는 것이다. 아울러, 에너지 절감 가전에 별점을 매기는 제도와 같이 세계적으로 보안이 인증된 장비에 별점을 주려는 노력도 일어나고 있다.

맥아피에서 IoT 보안과 관련해 디지털 기기가 라우터를 통해 네트워크에 연결되는 만큼, 라우터에 대한 보안을 강화하는 노력을 하고 있다는 것을 언급했다.



데이비스 부사장은 “전구나 온도계, 보안 카메라 같은 경우에는 메모리나 연산 능력이 부족해 소프트웨어를 설치하는 것이 어려운 만큼 라우터에 집중하려 한다”며 “라우터 단에서 좋은 트래픽과 나쁜 트래픽을 구분해서 안 좋은 트래픽의 경우 디바이스에서 받지 않게 하는 것”이라고 설명했다.

글. 바이라인네트워크
<남혜현 기자> smilla@byline.network