스마트홈 해킹 사례 - seumateuhom haeking salye

[테크월드=이건한 기자] PC나 스마트폰을 비롯해 주변 모든 사물이 인터넷으로 연결되는 사물인터넷(IoT) 세상에서 우리는 다양한 편의를 제공받고 있다. 특히 집과 거주자가 유기적으로 상호작용하는 스마트홈은 일상 속 IoT의 결정체라 할만하다. 하지만 빠르게 진화하는 스마트홈 기술·환경과 비교해 일반 사용자의 보안 의식은 크게 나아지지 않고 있는 형편이다.

스마트홈 해킹 사례 - seumateuhom haeking salye

스마트홈 해킹 유형

스마트홈에 대해 조금이나마 이해하는 사람이라면 스마트홈이 언제든 외부 해킹에 노출될 수 있다는 사실 정도는 알 것이다. 그러나 실제 해킹된 스마트홈을 통해 어떤 일들이 발생할 수 있는가에 대해선 다소 막연한 반응을 보이는 경우가 많다. 주변에 물어봐도 돌아오는 대답은 대부분 ‘가정용 웹캠, CCTV 해킹에 의한 사생활 노출’ 정도를 크게 벗어나지 못하는 수준이다.

물론 홈 CCTV 노출 역시 심각한 사생활 침해 유형으로 분류되지만, 요즘 스마트홈에서는 잠재적으로 그보다 훨씬 큰 보안 위협들도 함께 도사리고 있다는 사실을 알 필요가 있다. 

눈에 봬는 것 없는 스마트 도어락

도어락은 주인 아닌 사람이 함부로 집에 들어오는 것을 막는 최후의 문지기다. 그런데 도어락이 아무에게나 문을 열어주게 되면 어떤 일이 벌어질까? 아마 상상도 하기 싫은 일들이 벌어질 것이다. 그런데 이런 상황은 지금도 충분히 현실이 될 수 있다. 무선 네트워크 보안기업 노르마는 지난 2019년 실내 월패드(스마트홈 가전제어 장치-인터폰과 유사한 벽걸이형 기기)와 연동된 스마트도어락이 간단한 해킹으로 허무하게 뚫리는 과정을 시연했다.

방식은 간단하다. 문이 열릴 때 월패드가 발생시키는 무선신호를 시중에서 쉽게 구할 수 있는 연구용 송수신기로 가로챈 후, 이를 그대로 복사해 도어락으로 보내면 그 순간 문이 열리는 것이다. 일종의 신호 재전송 공격이다. 마치 눈에 보이지 않는 키를 해커가 복사해 열고 들어오는 것과 같다. 이는 가정용 스마트홈 시스템이 외부로 발산되는 전파에 대한 최소한의 무선 보안 체계도 갖추지 않은 경우 발생할 수 있는 일이다. 

스마트홈 해킹 사례 - seumateuhom haeking salye
도어락 해킹을 시연하는 장면 (출처=노르마)

수천 세대 아파트 해킹, 작은 월패드로부터

아예 월패드를 해킹하면 어떨까? 그 대가는 막대하다. 자체 디스플레이를 탑재하고 실내 중심에 설치되는 고정형 월패드는 스마트홈을 제어하는 허브(Hub)로써 최적의 조건을 갖춘 기기다. 그만큼 요즘은 이 월패드를 통해 다양한 실내 기능을 원격으로 제어할 수 있는 기능을 제공하는 스마트 아파트가 적지 않은 편이다.

그러나 작년 초 MBC가 보도한 내용에 따르면 3000세대가 입주한 부산의 한 스마트 아파트를 점검한 결과, 한 가정의 월패드를 해킹하자 해커가 곧장 아파트 단지 전체를 통제하는 관리실 메인 서버에 침투할 수 있는 허점이 드러난 바 있다. 문제는 이 경우 한 집이 아니라 단지 내 모든 세대가 해커의 손에 놀아나게 된다는 점이다.

스마트홈 해킹 사례 - seumateuhom haeking salye
때론 ‘해킹패드’가 될 수 있는 월패드

상황은 심각하다. 세대별 현관문이 해커에 의해 자유롭게 열리고, 가전의 작동을 제어하거나 월패드에 내장된 카메라로 실내를 몰래 촬영하는 것도 가능해진다. 사실상 실내외 모든 방범 체계가 무너지는 것이다.

가관인 것은 보도 당시 가명처리 된 건설사 담당자의 대답이다. 그는 “소비자들은 솔직히 보안에 대해 잘 모르고, 정부에서도 관심이 없기 때문에 건설사 입장에서도 굳이 보안을 강화할 필요를 느끼지 못한다”고 말한다. 또 상황이 이렇다 보니 어떤 아파트에서는 고작 중학생밖에 되지 않은 아이가 월패드를 해킹해 단지 전체의 전기 사용량을 제로로 만들어 버린 사례도 보고된 기록이 있다.

똑똑한 AI 스피커? 

요즘 많은 이들이 집에 크고 작은 AI 스피커를 두고 있다. 이들 스피커는 음성명령을 통해 음악감상, 일기예보, 검색 같은 여러 편의 기능을 이용할 수 있음은 물론이고, 일부 스피커는 실내 가전이나 외부에 주차된 차량과 연결되는 커넥티드 허브로 활용되기도 한다.

하지만 AI 스피커도 해킹 측면에서는 꽤 취약한 기기다. 이들 제품은 대개 별다른 인증 없이 호출명과 음성명령만으로 작동하는 경우가 많은데, 이점을 노려 2018년 미국 UC버클리대 연구팀에서는 사람 귀에 들리지 않는 비가청대역 음향을 악용하면 AI 스피커 해킹도 충분히 가능하다는 사실을 증명해냈다. 

스마트홈 해킹 사례 - seumateuhom haeking salye
UC버클리 연구에서는 아마존 알렉사, 애플 시리, 구글 어시스턴트 등이 실험대상에 포함됐다.

마치 돌고래의 언어처럼 사람에겐 들리지 않지만 기계는 감지할 수 있는 초고주파를 활용해 동영상, 음원 같은 콘텐츠에 미리 준비한 비가청대역 명령어를 심어 두면 사용자들이 눈치채지 못하는 사이 AI 스피커가 특정 기능을 수행하도록 만들 수 있다는 시나리오다. 조금 과장해 차량과 연결된 AI 스피커가 있고, 이 같은 공격 방법으로 스피커에게 ‘차 시동 걸어’ 같은 명령이 전달된다면, 나도 모르는 사이 차량을 도난당할지도 모르는 일이다. 

이 밖에 또 해외에서는 사람의 음성 신호처럼 인식될 수 있는 레이저에 명령어를 담아 발사하는 식으로 AI 스피커를 조작하는 해킹도 시연된 적이 있는데, 사실 이 정도까진 다소 황당하게 들리지만 어쨌든 핵심은 생각보다 쉽게 뚫리고 있는 스마트홈 기기들의 현재 보안 수준이다.

중요한 건 보안 의식, 실상은..

대부분 직접적 피해 당사자인 소비자들은 스마트홈이 주는 편의에 대해서만 알 뿐, 정작 위협요소에 대해서는 잘 알지 못한다. 스마트홈 보급이 점점 빨라지고 있는 것과 달리 정부와 제조사에서는 아직 스마트홈 보안과 관련된 대국민 홍보와 교육이 잘 이뤄지지 않고 있기 때문이다.

2017년부터 한국인터넷진흥원(KISA)이 사물인터넷 제품, 연동 모바일 앱에 대한 일정 수준의 보안성을 시험하는 ‘IoT 보안인증 서비스’를 시작하긴 했지만 법으로 강제되지 않아 아직도 인증을 받은 제품은 수십 개에 불과하다.

게다가 제품의 보안성 개선은 제조사 입장에서 곧 단가 상승으로 이어지며, 인증 과정이 지연될 경우 적합한 시장 출시 시기를 놓칠 우려도 따른다. 결국 도의적인 문제는 차치하고 법적 기준이 없는 상황에서 굳이 남들도 쓰지 않는 비용을 들여 보안을 강화할 필요를 느끼지 못하는 것이다.

소비자들의 안전불감증도 문제다. 작년 서울 강서구의 한 아파트는 해커에 의한 집단 해킹 사태가 벌어졌음에도 집값 하락을 우려해 주민들이 이를 쉬쉬했다는 사실이 드러나 논란을 빚었다. 결국 기업이나 소비자나 취약한 보안으로 인해 겪게 될 잠재적 리스크보단 당장 눈앞의 이익을 쫓는 마음이 가장 크다는 점이 스마트홈 시장의 보안 개선 속도를 느리게 하는 근본적인 원인이란 이야기다.

스마트홈 해킹 사례 - seumateuhom haeking salye
KISA IoT보안인증서비스 홍보물

꼭 필요하지 않다면, 아직은 조금 거리를 두는 것도 방법

이런 상황에서 우리가 근본적으로 해결할 수 있는 일을 많지 않다. 그저 단순하지만 효과적인 방법으로, 시장 내 IoT 기기들의 전반적인 보안 수준이 향상될 때까지 관련 제품 구입을 최대한 보류하는 것 정도가 있을 것이다. 

특히, 아예 시공단계부터 자체 스마트홈 플랫폼을 내재한 신축 아파트 등에 입주하는 경우라면 각별한 사전 주의가 요구된다. 반드시 입주해야 하는 상황이라면 이사 전 해당 아파트 브랜드와 관련된 스마트홈 해킹 사례가 없는지 확인하고, 실제 시스템 보안 관리는 어떤 체계로 이뤄지고 있는지 전문가를 통해 미리 알아보고 조치할 필요가 있다.

이 외에도 이미 입주한 뒤이거나, 현재 자신이 거주 중인 집 내에서 사용 중인 네트워크 기기의 보안 수준을 측정하고 싶다면 KISA가 제공하는 ‘IoT 취약점검’ 서비스를 받아보는 것도 한 방법이다. 무엇보다 정부 역시 지금과 같은 문제를 시장 자율에 맡길 게 아니라 정부 차원의 보다 강력한 보안성 강화 대책과 기업이 준수할 수 있는 법적 규제를 마련하는 것이 시급하다.

테크월드 - 월간<EMBEDDED> 5월호 中

스마트홈 해킹 사례 - seumateuhom haeking salye

픽사베이

아파트 홈 네트워크 기기 ‘월패드’ 해킹 사태 이후, 주거용 사물인터넷(IoT) 보안 시장이 본격적으로 움틀 대는 모양새다. 지난달 정부가 관련 설비 기준을 의무화하는 등 대응책 마련에 나선 가운데, 최근 자동차·금융 등 타 산업군 보안 기업들까지 시장 선점을 위한 도전장을 던지는 추세다.

자동차 보안 기업까지 스마트홈 보안 '직진'

월패드 사태는 지난해 말 불거졌다. 전국 700여 곳 아파트가 월패드 해킹을 당해 주민들 사생활 영상이 온라인에 유출된 것이다. 월패드는 아파트 거실 벽면에 달린 인터폰 형태 자동화 기기다. 내장된 카메라가 가정 내 영상을 촬영한 모습은 다크웹에서 비트코인을 통해 거래되며 파장을 일으켰다.

정부는 황급히 대책 마련에 나섰다. 지난달 ‘지능형 홈네트워크 설비의 설치 및 기술기준’ 일부 개정안을 통해 망 분리 의무화 내용을 담았다. 단지 내 서버와 세대별 홈 게이트웨이를 분리한다는 것이 주요 골자다. 스마트홈 보안 사업은 중요성이 수차례 제시됐지만 ‘안전 불감증’ 탓에 성장이 더뎠다. 월패드 사태로 말미암아 보안업계서는 새로운 시장 형성에 가속도가 붙었다.

스마트홈 해킹 사례 - seumateuhom haeking salye

시옷의 스마트홈 보안 체계 구조도. 시옷 제공.

전기차·자율자동차 보안기업 시옷은 기존 월패드에 그대로 활용할 수 있는 IoT 보안 솔루션을 개발했다. 하드웨어 보안을 다루던 노하우를 이종 산업에 입힌 사례다. 통상 스마트홈 IoT 기기는 기존 PC나 모바일보다 저사양 프로세서를 사용한다. 시옷은 임베디드(내장형 시스템) 소프트웨어(SW)를 부착시켜 PC 환경과 동일한 수준의 보안을 제공하도록 했다. 저전력·경량화 암호· 고속 영상처리 기술이 기반이다.

박한나 시옷 최고기술경영자(CTO)는 “세대 간 망 분리는 이미 지어진 아파트일 경우 구현이 쉽지 않다”며 “개발한 솔루션은 설치만으로 접근제어 망 분리와 데이터 암호화가 가능해 현실적 안전성 확보가 가능하다”고 설명했다.

금융권 보안 기술도 스마트홈에 이식

스마트홈 보안 시장은 격전을 거듭하고 있다. 한국정보인증은 금융권 보안 체계서 널리 쓰이는 ‘PKI 인증서’에 일회용비밀번호(OTP) 기술을 입혔다. 홈 네트워크 설비에 사용자가 생체 정보로 신원을 인증하는 체계를 도입한 것이다. PKI는 공개키와 개인키가 함께 구성돼 해커가 양쪽 키를 모두 확보하지 못하면 침입이 불가능하다. OTP 기술은 지난해 6월 흡수합병한 다우키움그룹 계열사 미래테크놀로지 솔루션을 활용했다.

보안 기업 펜타시큐리티도 비슷한 솔루션을 출시했다. 세대별 홈 게이트웨이와 단지 서버를 연결하는 망을 분리해 주는 ‘아이사인 홈크립트’를 새롭게 론칭한 것이다. 공개키 기반 구조 PKI 전자서명, IoT 전용구간 암호화 등을 구현해 스마트홈 데이터 기밀성과 무결성을 보장하도록 했다.

스마트홈 해킹 사례 - seumateuhom haeking salye

펜타시큐리티 스마트홈 솔루션 체계. 펜타시큐리티 제공.

시스템통합(SI) 기업 케이씨에스는 독자 개발한 영상암호칩 기반 모듈을 내놨다. 주요 건설사와 홈 오토메이션(가정 자동화 제어) 업체들을 대상으로 영업망을 늘리고 있다. 모듈은 월패드에 내장시키는 형태다. 내부 데이터 암호화·불법 침입차단 등 스마트홈 보안 기능을 수행할 수 있다.

스마트홈 보안 시장은 앞으로가 더 기대되는 분야다. 스마트홈 시장 자체가 성장을 거듭하고 있기 때문이다. 한국스마트홈산업협회에 따르면 지난해 20조6183억원이었던 국내 스마트홈 시장은 오는 2025년 27조5767억원으로 성장할 전망이다.

이시은 기자