한국인터넷진흥원(KISA)이 사물인터넷(IoT) 기기의 취약점을 이용한 보안위협 피해를 막을 수 있는 ‘IoT 취약점 점검 서비스’를 개인과 기업을 대상으로 무료 제공한다.

IP카메라, 공유기, 가전제품, 모바일·웨어러블 기기 등 네트워크에 연결된 IoT 기기를 대상으로 알려진 보안취약점을 사전 점검해 보안사고를 예방한다는 취지다.

최근 IoT 기기가 늘어나면서 기기 내 취약점을 이용한 각종 보안위협이 커지고 있다. 취약한 IoT 기기를 대규모 디도스(DDoS) 공격에 이용하거나 사생활 침해 위협이 증가하고 있다.

IoT 검색 엔진 ‘쇼단(Shodan)’을 통해 전세계 IoT 기기 정보와 실시간 영상 등이 그대로 노출되는 일도 생겨났다. 쇼단은 불법 스캔으로 인터넷에 연결된 웹캡/IP카메라, 라우터, 서버 등의 기기 정보와 취약점을 수집해 공개한다. 누구나 검색 창에 IP, 국가 등 키워드를 넣어 검색하면 기기 정보와 취약점 정보 조회가 가능하기 때문에 위험하다.

지승구 KISA 융합보안지원팀 팀장은 “많은 네트워크 기기가 취약하다. 공개된 소프트웨어 취약점을 업데이트 하지 않고, 사용자 관리 부재로 접근제어가 미흡한 경우가 많다. 공장에서 출고할 때 설정된 취약한 인증정보를 그대로 사용하고 있다”라면서 “쇼단, 인세캠(insecam)같은 사이트를 통해 보안이 취약한 IP카메라를 공격해 가정집 영상을 유출하는 사건이 자주 발생하고 있다”고 말했다.

KISA는 쇼단 엔진에서 아이디어를 얻어 지난해부터 IoT 취약점 점검 시스템을 개발해왔다. 공개된 국내외 취약점 정보를 수집해 데이터베이스화했다. 별도로 IoT 기기의 취약점 정보를 스캔해 사용 중인 서비스와 취약점 정보도 확보한다. 기기정보와 취약점 간 연관성 조사로 위협정보를 식별한다. 다만 KISA는 쇼단과는 달리 사용자 동의를 얻은 IoT 기기에 한해 조사를 진행한다.

IoT 취약점 점검 서비스도 기업과 개인 신청자를 대상으로 진행한다. KISA에 신청하면, 적격심사를 거쳐 서비스 제공이 가능한지 확인한 후 점검을 수행하게 된다. 점검 후에는 취약점 결과 보고서를 제공해 조치 방법을 안내한다. 동의를 거쳐 현장 컨설팅 지원도 가능하다.

지난 10월 1일 서비스를 시작한 뒤 현재까지 8건의 서비스 신청이 들어왔다.

IoT 기기 확산에 따른 침해사고를 막기 위해서는 이같은 서비스가 활성화돼야 하지만 현실적으로 한계가 있다. 정보통신망법(48조 정보통신망 침해행위 등의 금지)에 따라 사전에 동의를 받은 대상이 되는 IoT 기기만을 점검할 수 있기 때문이다.

일본의 경우 IoT 취약점 점검을 목적으로 기기 접근을 한시적(5년)으로 허용하는 법을 지난해 11월 시행했다. 이에 따라 앞으로 일본 내 인터넷에 연결된 2억 개에 달하는 모든 IoT 기기에 대한 조사가 이뤄질 예정이다.

지 팀장은 “일본의 경우 IoT 취약점 점검을 목적으로 기기 접근을 5년 한시적으로 허용한 법이 지난해 11월부터 시행되고 있다. 정보통신연구기구(NICT)법으로 인터넷상에 연결된 모든 일본 내 IoT 기기를 점검 대상에 포함해 시행하고 있다”라면서 “일본 사례를 참고해 IoT 취약점 기기를 줄이기 위해 한시적이나마 ‘임의점검’을 허용할 수 있도록 과학기술정보통신부와 법적근거를 마련, 제도적 한계를 보완할 수 있도록 검토하고 있다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network