2017년 오스트리아의 유서 깊은 한 호텔에서 전자식 도어 카드키가 랜섬웨어에 감염되는 일이 발생했다. 이로 말미암아 투숙객 수백명이 객실을 출입하지 못하는 상황이 발생했다. 이 사건은 호텔 측이 해커에게 비트코인을 지급하고서야 복구됐다. 이후 호텔이 택한 최종 해결책은 예전에 선조들이 쓰던, 열쇠를 이용한 기계식 잠금장치로 모든 출입문을 교체하는 것이었다.
4차 산업혁명이 우리에게 미치는 파급력은 가히 혁명이라 할 수 있다. 공장 내 모든 기기와 공장 간 시스템은 정보통신기술(ICT)로 연결·관리되며, 중앙에서 통제한다. 이처럼 정보기술(IT) 기반으로 자동화된 스마트공장 생산성은 눈부시게 향상될 것이다. 마찬가지로 가정 내에서도 가전제품이 인터넷에 연결돼 스스로 기능하고 통제되며, 원격 조정도 가능하다. 미국을 필두로 상용화된 자율 주행 차량은 올해 국토교통부가 스타트업에 자율주행 임시 허가를 내주는 등 무인차 시대에도 한 발짝 다가가고 있다.
그러나 4차 산업혁명의 편리를 누리기 위해서는 이들 서비스나 제품이 안전하게 작동· 관리되고 있다는 보안에 대한 믿음이 반드시 필요하다. 이제는 초연결 사회의 위협을 예방하기 위해 사이버 보안에 대한 새로운 접근 방식이 필요하다. 4차 산업혁명 시대가 본격 실현된 이후 보안 위협 때문에 스마트도어를 기계식 잠금장치로 바꾸고 스마트공장 가동을 중단시킬 수는 없지 않겠는가. 이미 심장박동기 등 의료보조 기기나 자율주행차 등의 해킹 가능성에 대해 많은 전문가가 예견하고, 해킹 실험을 통해 위험성이 거론되고 있음을 간과해서는 안 된다.
다만 4차 산업혁명의 사이버 보안은 인트라 망 기반 기업 보안과 다른 방식으로 접근해야 한다. 기존의 보안은 '애드온(Add-on) 보안'이 가능했다. 기업 내부에 서버와 컴퓨터로 구성된 사내 전산망을 구축하고 네트워크 단에 방화벽 등 다양한 보안 제품을 설치, 사내 망을 안전하게 보호할 수 있었다. 컴퓨터, 노트북 등 엔드포인트 기기에는 안티바이러스 등 필요한 보안 소프트웨어(SW)를 부가 설치하는 방식으로 보안성을 구현했다.
4차 산업혁명에 사용되는 사물인터넷(IoT) 기기는 이러한 부가 보안 방식으로 한계가 있다. 대다수 IoT 기기는 인트라 망 안에서 보호되지 않는 경우가 많다. 초소형·저기능이거나 초저전력을 요구하는 경우가 많아 부가 보안 기능을 설치한다는 것 자체가 어렵다. 또 대다수 기기가 입출력 장치를 갖추고 있지 않을 뿐만 아니라 수십, 수백만 기기가 관리 대상이 되는 경우도 허다하기 때문에 기존 컴퓨터나 서버에 적용되는 자동화된 보안 업데이트는 생각조차 쉽지 않다. IoT 기기는 설계 단계에서부터 보안을 고려, 업데이트가 가능하도록 '보안 내재화' 개념 적용이 필수다.
보안 내재화 못지않게 중요한 것은 IoT 기기의 경우 보안 업데이트가 가능해야 한다는 것이다. 보안 기능이 내재화돼 있지 않거나 업데이트 기능 없이 현장에 설치된 IoT 기기는 취약점이 발견되더라도 보완 조치가 불가능한 상태로 현장에 방치된다. 취약한 IoT 기기를 현장에서 일일이 수거하거나 업데이트를 진행하는 것은 사실 불가능한 일이다. 시행한다 하더라도 엄청난 시간과 비용을 수반하게 된다.
근본 해결책은 기하급수로 증가할 보안 위협 징후를 신속하게 분석해서 서비스 제공 기업 등과 공유, 침해 사고를 예방하는 것이다. 사람이 악성코드를 분석하는 것만으로 신규 보안 취약점을 일일이 대응한다는 것은 현실상 불가능하다. 인공지능(AI) 기술을 활용해 대량의 사이버위협 정보 유사성을 분석하는 기술도 확대 적용해야 한다.
보안은 4차 산업혁명 시대에 안전을 담보할 수 있는 최후의 보루다. 4차 산업혁명 시대에는 성장과 안전이라는 두 마리 토끼를 다 잡아야 한다. 이제 보안은 '불편하지만 필요한 요소'가 아니라 '사회 안전을 담보'하는 생명 벨트라는 사실을 잊지 말아야 할 것이다.
이재일 한국인터넷진흥원 사이버침해대응본부장 leeji@kisa.or.kr
