한국인터넷진흥원(KISA)가 새해부터 사물인터넷(IoT) 기기 취약점을 집중 점검한다.
KISA는 'IoT 취약점 점검 시스템'을 개발 완료했다. 이 시스템은 국내외에서 수집한 취약점 DB와 인터넷 내외부에서 파악된 기기 정보를 바탕으로 위협정보를 도출한다. 다만 정보통신망법 48조에 따라 취약점 점검에 동의가 필요하다. KISA는 대상 기기에 대해 통신사에 의뢰해 소유자를 식별해야 한다. 통신사를 거쳐 안내를 받은 소유자가 동의해야 점검 가능하다. 현재 '쇼단'에는 국내 인터넷 연결 기기가 약 1800만대 검색된다.
KISA에 올해 신고된 IoT 보안 취약점은 387건으로 지난해보다 11.5% 증가했다. 전체 신규 취약점 신고 1108건에서 3분의 1이 넘는다. 유효성을 인정받은 경우도 164건으로 지난해보다 36.7% 늘었다.
국내 신고되는 IoT 보안 취약점은 아직 공유기나 NAS가 대부분이다. 가전제품의 스마트화가 진행되고 AI스피커와 IP카메라 등이 보급되면서, 공격자는 이들의 보안수준이 비교적 낮다는 점을 노린다.
맥아피는 스마트폰, 태블릿, 라우터 등으로 홈 IoT에 대한 접근권한을 확보해 이를 악용하는 사례가 늘어날 것으로 내다봤다. 시만텍은 배전망이나 통신망과 같은 주요 기반시설 관련 IoT 기기에 대한 공격을 경고했다.
문종현 이스트시큐리티 이사는 “IoT 보안 사고에도 여전히 사용자 부주의나 관리 소홀이 상당한 지분을 차지한다”며 “IoT 기기의 경우 관리자 암호 등이 단순하게 설정돼있는 경우가 많다. 새로 제품을 구매했거나 공장 초기화를 했다면 재설정이 필수다. 소프트웨어도 최신버전으로 업데이트해야 자동화된 사이버공격을 미연에 방지할 수 있다”고 설명했다.
팽동현기자 paing@etnews.com
