IoT 보안이 취약한 이유다. 어느 분야에서 어떻게 보안이 노출될 수 있는지, 알아보고 경계하자.

하루에도 몇 번씩 여닫는 냉장고, 집안 곳곳을 훑고 다니는 청소기, 마주 앉아 바라보는 TV가 해킹당한 사례가 있다. IoT 보안이 언급되던 2014년 미국의 보안회사인 프루프 포인트(Proof Point)는 하루에 세 번, 10만 건 단위의 악성 이메일이 기업과 개인뿐만 아니라 가전제품에도 발송됐다고 밝혔다. 단순히 받는 것에 그치지 않고 기기에 부착된 카메라를 제어할 수도 있는 수준이다. 청소기와 TV의 카메라가 해커의 눈이 되어 집안 곳곳을 촬영할 수 있다.

센서로 공장의 하단을 감지하고, 현재 상황을 판단하고 문제가 있으면 중단시킬 수도 있는 스마트팩토리는 어떨까. 공장 가용성을 높이고, 실시간 관리로 편리함을 높일 수 있지만 그만큼 위협요인도 다양하다. 근거리 통신망은 DOS 공격과 정보유출, 명령어 변조가 발생할 수 있다. 게이트웨이 구간은 허가받지 않은 사람이 원격으로 제어하거나 데이터를 도청할 수 있다. 이런 문제는 애플리케이션을 설치할 때 보안 코딩이 부족하고 제품 공정 진행 과정이 다양해 오류가 생기는 등 다양한 문제점에서 시작된다.

이제껏 해킹 발생 사례로는 공장 내부 관계자의 인식 부족으로 인한 사례가 주를 이룬다. 독일 연방정보보안실은 독일 철강 공장 용광로 제어 시스템이 공격당해 손실을 보았다. 당시 해커들은 관계자 이메일을 이용해 로그인 계정을 탈취한 후 공정 제어 시스템을 장악했다. 실제 IoT 보안 포럼에 참가한 보안 관계자도 같은 이유로 “국내 기업들이 해킹으로 기업 노하우가 유출된 사례가 있으나, 공개적으로 밝히지는 않았다”고 했다.
자율주행차의 센서는 인간의 눈처럼 상황별 대처가 부족해 물체를 잘못 파악할 수 있다. 실제 위협요인을 연구했던 카이스트 김용대 교수는 구글 벨로다인과 모빌아이의 센서도 밝은 레이저로 물체를 못 보게 만들 수 있고, 센서를 이용해 물체가 없는데 물체가 있는 것처럼 환각 현상을 일으키도록 만들 수도 있다고 밝혔다.

김 교수는 드론의 속도를 결정하는 자이로스코프에 공진을 보내 MEMES를 컨드롤해 드론을 떨어뜨렸다고 말했다. 함께 소개한 영상에는 잘 날던 드론이 MEMS 신호를 보내자 떨어지고, 신호를 멈추자 다시 날아오르는 드론 실험 영상이 담겨있었다. 드론이 날다가 떨어지는 영상은 지난 2015년 미국의 보안 컨설턴트가 유튜브에 공개한 모습과도 비슷하다. 다만, 보안 컨설턴트는 ‘AR. Drone’을 해킹했는데, 이때 드론이 암호화되지 않은 와이파이를 사용하고, 사용자식별코드(SSID)도 숨겨져 있지 않아 해킹할 수 있었다고 전했다.

드론 해킹으로 피해를 입은 사례로는 넓은 땅과 군사 훈련이 발달한 미국에서 주로 일어났다. 미군이 촬영한 정보를 그대로 유출시키는가 하면, ‘최신장비’인 드론을 해킹해 도착지를 변경해 드론을 납치했다. 입수한 드론으로는 분해해 역 개발하기도 했다.