[비트허브=김태인 기자] 사물인터넷(IoT) 시장이 급격한 성장세를 보이고 있지만 관련 기기의 보안 수준은 턱없이 낮은 것으로 나타났다.
사물인터넷을 활용한 스마트기기가 빠르게 확산되고 있지만 이들 기기 대부분이 치명적인 보안 위협에 노출된 셈이다.
보안업체인 시만텍이 시중에 판매되고 있는 50여 가지 스마트홈 기기를 분석한 결과 대다수 기기가 취약한 인증절차 및 웹 상 취약점을 갖고 있는 것으로 조사됐다.
◆ 취약한 인증 시스템 등 문제
이번에 분석대상이 된 기기는 스마트 온도 조절 장치, 스마트 잠금 장치, 스마트 전구, 스마트 연기 감지기, 스마트 에너지 관리 기기, 스마트 허브 등 50가지 스마트홈 기기다.
시만텍의 분석에 따르면 대부분의 스마트홈 기기와 서비스에서 ▲취약한 인증 ▲웹 취약점 ▲로컬 공격 ▲잠재적인 공격 가능성 등 기본적인 보안 문제가 발견됐다.
이러한 결과는 보안 경보기, IP기반 감시 카메라, 엔터테인먼트 시스템, 인터넷 무선 공유기 등에도 동일하게 적용될 수 있다.
특히 조사 대상이 된 기기 중 상호 인증을 사용하거나 강력한 비밀번호를 설정한 기기는 단 한 대도 없었던 것으로 나타나 심각한 보안 불감증을 보여줬다.
심지어 클라우드 인터페이스에서는 해킹에 취약할 수 있는 가장 기본적인 네 자리 숫자 핀(PIN) 코드로만 인증할 수 있었다. 사용자가 보다 복잡하고 강력한 비밀번호를 원해도 이를 적용할 수 없는 것이다.
◆ 웹 취약점 '심각'
많은 스마트홈 웹 인터페이스에서도 이미 잘 알려진 웹 애플리케이션 취약점이 발견됐다.
15개 사물인터넷 클라우드 인터페이스를 대상으로 실시한 간단한 테스트에서도 심각한 취약점들이 드러났으며, 이 밖에도 경로 조작(path traversal), 파일 무제한 업로딩(원격 코드 실행), 원격 파일 삽입(RFI) 및 SQL 삽입과 관련된 10개의 취약점이 발견됐다.
스마트 전구뿐만 아니라 스마트 도어록에서도 이와 같은 취약점이 발견됐다. 특히 이런 취약점을 이용해 시만텍 분석팀은 비밀번호 없이도 원격으로 현관문을 열 수 있었다.
조사 결과 사물인터넷 기기를 제어하는 모바일 애플리케이션의 약 20%가 암호화 통신(SSL)을 사용하지 않았다.
◆ 보안 불감증 없애야…개인·업계 함께 노력
사회 전반의 보안 불감증이 심각한 것으로 진단된다. 이런 보안 위협을 방지하기 위해선 업계는 물론 개인 사용자들의 주의도 요구된다.
시만텍 관계자는 "스마트홈 기기를 겨냥한 보안 위협에 대비하기 위해선 사용자와 스마트홈, 사물인터넷 기기 제조업체들이 각각 보안 수칙을 준수해야한다"고 조언했다.
먼저 업계는 보다 강력한 인증체계를 만들고 암호화 기술을 적용해야한다. 또한 이상 행위 탐지와 같은 새로운 지능형 보안 위협에 대처하는 보안 시스템을 갖춰야한다.
개인 사용자들은 이미 사용하고 있는 사물인터넷 기기의 계정과 와이파이 네트워크에 강력하고 복잡한 비밀번호를 사용해야한다. 또한 제품을 받을 당시 기본적으로 설정된 패스워드를 새로운 것으로 변경하는 것은 필수다.
또한 와이파이 네트워크 설정 시 보다 같은 강력한 암호화 방식을 사용하고 평소 사용하지 않는 기기에 대한 원격 접속 해제나 방지 기능을 설정하는 것이 좋다.

알렉스 싱클레어(Alex Sinclair) GSMA 최고기술책임자(CTO)는 “다수의 기계, 디바이스 및 어플라이언스들은 수많은 네트워크를 통해서 인터넷에 연결되어 소비자들과 업체들에게 혁신적인 새로운 서비스를 제공한다. 사물인터넷은 미래에서나 사용될 용어처럼 들리지만 이미 시작되어 우리의 생활을 개선시키고 있다“고 말했다. 이어서 “이 보고서는 시장이 여전히 초기단계를 거치고 있지만 커넥티드 홈에 대한 서비스들의 엄청난 수요가 있다고 결론지었다; 또한 이러한 기기들과 서비스들의 막힘 없는 상호작용이 중요하기 때문에 각기 다른 분야에서의 회사들간 협력과 상호운영이 어떤 때보다 중요하다”고 덧붙였다.

CA 테크놀로지스 후원으로 기술 전문 조사기관 반슨 버른(Vanson Bourne)이 한국을 포함한 아태 및 일본지역 650명의 비즈니스 및 IT 관련 의사결정권자를 대상으로 조사한 결과를 담고 있다. 한국에서는 100명이 설문에 참여했다.
한국 CA 테크놀로지스 마이클 최 사장은 “애플리케이션 이코노미 시대, 보안은 데이터 침해를 막는 것은 물론 비즈니스를 촉진하는 역할을 한다. 누가 어떤 데이터에 접근할 수 있는지를 통제하는 동일한 툴은 편리하고 긍정적인 고객 경험을 이끌어내고 다양한 방법으로 비즈니스 성장에 기여한다”며 “기업은 보안의 역할을 비즈니스 보호는 물론 비즈니스 촉진에 두는 균형 잡힌 관점을 유지해야 한다”고 강조했다.