[보안칼럼]안전한 스마트도시 조성을 위한 사이버 보안

이원목 서울시 스마트도시정책관
이원목 서울시 스마트도시정책관

2000년대 초반의 u시티가 2010년 전후로 4차 산업혁명 기술을 활용한 스마트시티로 변모하고 있다. 최근에는 데이터 중심 기술의 스마트시티를 넘어 사람 중심 사회의 스마트시티로 흐름이 옮겨 가고 있다.

서울시는 '시민의 삶을 바꾸는 스마트시티 서울' 비전 아래 사람 중심, 서비스 중심, 협치, 지속 가능, 혁신 성장 등 핵심 가치를 발굴하고 교통·안전·환경·복지·경제·행정 등 6개 분야 정책 과제를 발굴했다. 이를 위해 도시·행정 데이터에 사물인터넷(IoT), 블록체인 등 기술을 결합시켜 신성장 동력을 만드는 한편 공공 빅데이터 통합 저장소, IoT 공유주차 시스템, 5세대(5G) 이동통신 융합 자율주행 테스트베드, 3D 기반 버추얼 서울 등 신서비스를 구축하고 있다.

이뿐만 아니라 시민들의 보편화된 통신 복지와 통신 기본권 보장을 위해 자가통신망 기반의 공공 와이파이를 시민 생활권으로 확대하고, IoT 기지국을 확대해 스마트가로등·실종방지 등 스마트 정책 음영 지역을 없애기 위한 '스마트 서울 네트워크(S-Net)' 구축도 추진하고 있다.

이점이 큰 만큼 우려도 있다. 스마트시티는 수많은 IoT 디바이스와 시스템 연결, 무선통신 프로토콜의 활용 증가, 서비스 간 정보 연계·활용으로 인해 보안 위협 증가와 이를 통한 도시 내 시민들의 개인 프라이버시 침해 및 다양한 해킹 사고가 발생할 가능성이 있다.

공격자는 쇼단 같은 검색 도구를 활용해 인터넷에 연결된 다양한 스마트도시 관련 시스템에 접근하고, 해킹이 가능하다. 대표 사례로 스마트미터에 대한 물리력을 동원한 공격이나 취약점을 이용한 해킹으로 과금 정보를 변경할 수 있으며, 폐쇄회로(CC)TV 해킹으로 권한을 획득하면 임의로 개인 대상의 영상 촬영이나 촬영 영상 유출이 가능하다. 도로에 설치된 센서, 교통 제어기에 대한 접근과 제어 권한에 대한 보안 설정이 적절치 못한 경우 교통신호 제어시스템에 대한 공격으로 대규모 교통 혼잡을 야기할 수도 있다.

실제로 2017년 미국 캘리포니아에서는 지역 버스와 경전철을 운행하는 시스템이 랜섬웨어 공격을 당해 3000만개 파일이 삭제됐고, 2018년 싱가포르에서는 한 의료그룹 데이터베이스(DB)가 악성코드에 감염돼 총리·장관을 포함한 약 1만6000명의 원외 처방전이 유출됐다. 스마트시티 보안 위협은 범위와 강도가 단순히 사이버 공간에 국한되지 않는다.

스마트시티에 대한 장밋빛 청사진은 보안이 담보되지 않으면 사상누각에 그칠 수 있는 만큼 보안은 반드시 처음부터 고려돼야 한다. 기존의 다른 보안 이슈를 반영하기 위한 기능과 구조 설계가 필요하고, 정보기술(IT) 측면 이슈뿐만 아니라 운영기술(OT) 측면도 고려해야 한다. 스마트시티 보안은 시스템 안전 관점에서 뿐만 아니라 시민 안전 관점에서 추진돼야 한다.

스마트시티 정보 보호를 위해서는 △기획·설계 단계부터 정보 보호와 프라이버시를 고려할 것 △정보 보호 프레임워크 수립 △스마트시티 서비스 전체를 24시간 365일 보안 관제하는 스마트시티 사이버안전센터 설립 등이 필요하다. 이 같은 대책을 수행하려면 많은 인력과 예산이 필요하지만 중대한 보안 사고가 발생하면 더 큰 사회 비용을 지불해야 할 수도 있다.

최근 스마트시티는 하나의 플랫폼으로 디지털 트윈을 지향, 도시 현실과 사이버 공간이 하나로 융합되고 있다. 스마트시티는 계속 발전하는 모델로 매일 새로운 장비와 새로운 서비스가 도시에 빠르게 적용, 확산하고 있는 만큼 개별 사안으로 접근하면 한계가 있을 수밖에 없다. 이제 스마트시티와 안전 문제를 고민할 골든타임이 그리 길게 남아 있지 않은 만큼 스마트시티 구축·운영을 위한 다양한 보안 기술에 대한 연구와 실증을 통해 체계를 갖춘 명확한 스마트시티 보안 가이드가 제시돼야 한다. 지속 가능한 스마트시티를 조성할 때 도시 문제를 해결하고 효율성과 안정성을 높여 시민 삶의 질 향상이라는 목표를 달성할 수 있을 것이다.

이원목 서울시 스마트도시정책관 lwm1026@seoul.go.kr