시장에 출시된 사물인터넷(IoT) 기기 70%가 사이버 보안 위협에 노출됐다.
박창열 한국인터넷진흥원 팀장은 19일 잠실 한국광고문화회관에서 열린 '시큐리티 서밋 2017'에서 'IoT 보안 위협과 대응' 발표에서 의료기기와 스마트홈, 스마트카 등 취약점을 경고했다.
심박조절기와 약물 주입기 등 의료기기가 원격 조작 위협에 노출됐다. 특히 의료기기 상당수가 윈도XP 기반 시스템이다. 마이크로소프트는 윈도XP 보안 업데이트를 종료했다. 보안 취약점이 나와도 취약점을 업데이트할 수 없는 구조다. 의료기기를 보호하는 보안 제품도 부족하다.
미국회계감사원(GAO)은 심박조율기나 인슐린 펌프, 제세동기 등 인체에 삽입되는 의료기기가 해킹 가능성에 노출됐다고 경고했다. 의료기기 네트워크 통신 취약점을 이용해 약물 주입량, 심박조절기 전기 주입량을 사망에 이르게 조작 가능하다.
최근 늘어나는 스마트홈 기기를 노린 공격이 증가한다. IoT 스마트홈 서비스 제품은 취약한 인증과 웹 취약점, 로컬 공격에 노출됐다. 스마트홈 기기는 상호 인증을 하지 않고 강력한 비밀번호를 설정하지 않는다. 경로 조작과 파일 무제한 업로딩, 원격 파일 삽입, SQL인젝션, 크로스사이트스크립트(XSS) 등 웹 취약점도 많다. 기기 자체 로컬 공격도 쉽다.
KT경영경제연구소에 따르면 IoT 공격 피해액은 2015년 13조4000억원에서 2020년 17조7000억원으로 증가한다.
박창열 팀장은 “스마트홈 기기 중 비밀번호를 평문으로 로컬에 전송하거나 인증을 전혀 하지 않는 기기가 많다”면서 “IoT 기기가 대중화하면서 공격자가 사용자를 협박하거나 홈 네트워크에 은신하는 등 표적 공격 위협이 존재한다”고 말했다.
박 팀장은 “IoT 기기 도입 후에는 사후 보안조치가 불가능하거나 많은 비용이 든다”면서 “IoT 제품과 서비스 개발 전체 주기에 걸쳐 보안을 고려해야 한다”고 설명했다.
한국인터넷진흥원은 IoT 보안 강화를 위해 이달 안에 IoT보안인증서비스를 시작한다. 인증대상은 IoT기기와 연동되는 모바일 앱이다. 초기 인증 수요 창출과 업계 부담 완화를 위해 한시적으로 무료 인증 서비스를 한다.
박 팀장은 “인증서 유효기간은 3년이며 1회에 한해 2년간 연장된다”면서 “인증, 암호, 데이터, 플랫폼, 물리 보호 등 5개 영역에 따라 선별적으로 평가한다”고 말했다.
이날 행사에는 김동수 한국스마트아이디 대표가 'UN 글로벌 ID 지문스마트카드와 세계 바이오 스마트 카드 시장 현황'을, 박창식 라이온시큐리티 대표가 'IoT 기반 컨테이너 추적 관제 시스템', 황호현 교통안전공단 과장이 '위험물질도로 운송 실시간관리 시스템 구축' 등을 발표했다.
김인순 보안 전문기자 insoon@etnews.com
