CWN(CHANGE WITH NEWS) - IoT, 심각한 보안 결함 무더기로 지니고 있다...기기 수백만 대 피해 위험

사물인터넷(IoT)은 인공지능, 자율 주행차, 드론과 함께 4차 산업혁명의 핵심 기술 중 하나이다. IoT는 공상 과학 영화에서나 볼 수 있었던 일상 속 사물로 인터넷에 접속할 수 있는 혁신을 선보였다.

그러나 일각에서는 IoT 제품이 무수히 많은 전자 제품에 보안 취약점을 전염시킨다는 우려를 제기한다. 이를 지나친 우려로 치부하는 목소리도 있었지만, 이러한 지나친 우려가 현실이 됐다.

IoT, 보안 수준 심각하다
와이어드, 더 사이버와이어 등 여러 해외 매체가 미국 보안 기업 포스카우트(Forescout)의 연구 결과를 인용, IoT 제품에서 심각한 보안 결함이 무더기로 발견된 소식을 전했다.

IoT에 활용되는 오픈소스 인터넷 프로토콜 컬렉션에서 '암네시아:33(Amnesia:33)'이라는 이름으로 알려진 33가지 보안 결함이 발생했다. 모두 IoT 네트워크에 연결된 기기에서 정보 탈취나 서비스 거부, 기기 제어 능력 장악과 같은 문제를 일으킬 위험을 지니고 있다.

포스카우트의 연구를 통해 IoT 제품이 보안 취약점에 노출된 것으로 파악됐다. 현재까지 보안 문제가 발견된 기기는 스마트홈 센서와 조명, 바코드 판독기, 기업 네트워크 장비, 빌딩 자동화 시스템 등 총 150여 가지이다. 그러나 향후 최대 IoT 제품 수백만 대까지 영향을 받을 것으로 예측된다.

특히, 포스카우트가 새로 발견한 오픈소스 “TCP/IT 스택” 7곳에 존재하는 보안 취약점 중, 5개는 20년간 여러 형태로 수정되고 재배포됐다.

보안 패치 배포 상황은?
포스카우트가 발견한 IoT의 취약점이 매우 심각한 이유는 보안 패치가 존재하지 않기 때문이다. IoT에 사용되는 모든 스택이 보안 패치를 배포할 중앙 기관이 없는 상태에서 여러 버전으로 수정되고 공개됐다.

간혹 기기 제조사가 패치를 배포하고자 했어도 제조사 차원에서 직접 패치를 설치하고 배포하기 어려워 보안 패치가 제대로 보급되지 않았다. 제대로 된 보안 패치 배포를 위해 기기 제조사뿐만 아니라 기기에 탑재된 칩을 제조한 업체도 똑같이 보안 수정 과정에 참여해야 한다.

문제는 다수 칩 제조사가 보안 패치 배포 과정에 제대로 참여한 적이 없다. 심지어 포스카우트는 과거에 파산한 기업의 칩을 장착한 제품에서 보안 취약점을 발견했다.

대다수 제품에서 버그가 발생해도 패치를 보급할 방법이 확실하지 않다. 이 때문에 문제가 더 심각하다.

포스카우트 연구 부분 부사장인 엘리사 콘스탄트(Elisa Costante)는 "IoT 제품의 보안 취약점 때문에 발생하게 될 피해 규모, 현재 소비자가 사용 중인 제품 중 보안 문제가 있는 제품의 수를 파악하기 어렵다. 포스카우트가 발견한 제품 외에도 우리가 사용하는 무수히 많은 IoT 제품에 심각한 보안 문제가 존재할 것으로 보인다"라고 밝혔다.

IoT 기기에 보안 취약점이 존재하더라도 대다수 사용자나 기관이 이를 확인하지 못한다. 또, 보안 취약점을 수정하고 이를 적용하는 사례는 훨씬 드물다.

이에, 콘스탄트는 "현재까지 발견된 보안 문제는 빙산의 일각에 불과하다. 많은 소비자가 사용하고 있는 IoT 기기에 패치가 설치되지 않은 보안 취약점이 있다는 사실을 받아들일 수밖에 없다"라고 언급했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]