[보안 칼럼]월패드 해킹사고, 전수조사와 보안 관리 제도화 필요

글자 작게 글자 크게 인쇄하기
[보안 칼럼]월패드 해킹사고, 전수조사와 보안 관리 제도화 필요

큰 충격을 안겨준 아파트 월패드 해킹 사고 이후 다양한 보안 대책이 거론된다. 월패드 등 사물인터넷(IoT) 디바이스의 보안 취약성에 대해 오래전부터 지적해 온 입장에서 실제 피해가 발생한 이후 대응 논의가 이뤄지고 있다는 점이 아쉽다.

한편으론 월패트 해킹 사고에도 대책이 마련되지 않고 사안이 흐지부지 종결되지 않을까 하는 우려도 있다.

현재 상당수 주민이 월패드 카메라에 스티커를 부착하는 등 임시방편적 대응에 나서고 있지만 이는 근본 해결책이 아니다. 정확한 위협 분석과 체계적이고 제도화된 보안 대책을 반드시 마련해야 할 시점이다.

가장 먼저 월패드를 이용하고 있는 전국 아파트 단지가 어떤 위협에 처해 있는지 철저한 조사부터 이뤄져야 한다. 현재 조사 방식으로는 월패드 해킹 사고의 원인과 피해 규모를 100% 확인할 수 없다. 지금까지 밝혀진 것은 유출된 영상으로 확인할 수 있는 피해 아파트 단지에서 어떤 방식으로 해킹이 발생했는지 정도다.

이외 대다수 아파트는 '아직 확인된 해킹 피해 사실이 없다'는 정도의 입장만 내놓고 있는 것으로 추정된다. 이에 제조사, 운용체계, 버전이 모두 다른 각 단지, 가정의 월패드가 어떤 취약점을 갖고 있고 어떤 위협에 노출돼 있는지 확인하지 못하고 있다.

이로 인해 언제든 월패드 해킹 사고가 반복될 수 있고, 공개되지 않은 피해 영상이 뒤늦게 유출될 가능성이 있다. 해킹 공격의 사각지대에 놓인 가구가 없도록 시간과 비용이 소요되더라도 전국 아파트 월패드에 대한 전수 조사를 해야 하는 이유다.

오랜 시간에 걸쳐 보호 장치가 마련된 모바일 기기와 달리 IoT 디바이스는 보안이 매우 취약한 상태로 방치돼 왔다.

시중에 공급된 월패드 제품은 대부분 안드로이드 4 버전 이하 구 운용체계를 탑재한 것으로 파악된다. 스마트폰은 짧게는 2년 주기로 제품을 교체해 자연스럽게 보안 툴이 업그레이드되지만 아파트 월패드 같은 디바이스는 한번 설치하면 사실상 수년간 방치에 가깝게 내버려 둔다. 제조사가 지속적으로 업데이트를 지원하는 경우도 드물다.

상황을 감안하면 이제는 아파트 주민 스스로가 '우리 아파트는 월패드 해킹 사고로부터 안전한가'라는 의문을 갖고 월패드 제조사와 연계해 보안 위협을 점검하고 대책을 세워야 한다.

아파트의 경우 각 가구가 관리비를 부담해 공동 시스템에 대한 유지 보수와 보안 관리를 진행한다. 그러나 진정한 정보 보안 측면에서 관리는 이루어지지 않고 있다. 앞으로 아파트 월패드 시스템을 계속 사용할 계획이라면 지속적 취약점 점검과 보안 업데이트 등 유지 보수 요구를 명확히 하고 이행 여부를 확인해야 한다. 신규 아파트 단지는 정보 보안에 필요한 내부 규정과 장치를 마련하도록 제도화해야 한다.

스마트홈에 적용되는 IoT 디바이스는 한번 설치하면 끝나는 하드웨어가 아니다. 설치 시점에서 기기와 운용체계의 안전성이 확인됐다 해도 시일이 지나 개발자도 몰랐던 보안 취약점이 발견될 수 있다. 또 오프라인 상태에서 안전한 기기들도 온라인에 연결돼 있는 이상 언제든지 해킹 공격이 발생할 수 있다. 기기 보안 내재화와 상시적인 유지 보수 시스템이 필요한 이유다.

모바일 보안은 통신사와 제조사, SW 개발사 등이 힘을 합쳐 보안 솔루션을 제공하고 있다. 반면 월패드 등 IoT 디바이스는 모바일에 비해 제조사가 영세한 경우가 많고, 정부나 건설사 등도 보안 문제를 적극적으로 다루지 않고 있다.

아파트 단지별로 정보보호 시스템을 구축하기가 쉽지 않다. 그러나 가장 안전해야 할 주거 공간에서 사생활 침해의 위협을 받는 게 얼마나 심각한 문제인지 생각해 보자.

사생활 영상이 유출되는 것만으로도 충분히 위협적이지만 특정 세대의 영상을 관찰해서 집이 비는 시간이나 거주자의 동선 등을 파악할 경우 물리적 위협으로 번질 가능성도 충분하다. 현관 출입 통제부터 조명 온오프 등이 가능한 스마트홈 시스템의 관리자 권한을 누군가 탈취해서 악용한다면 평화로운 일상을 보장할 수 없을 것이다.

지금이라도 정부와 유관 기관이 주도적으로 제조사와 건설사, 입주민 등 이해관계자에게 실상을 알려 철저한 보안 시스템을 구축해야 한다.

유동훈 시큐리온 대표 x82@securion.co.kr