보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
새로운 플랫폼에 따라 진화하는 위협
모바일 위협의 등장
지난 2004년 6월 AFP통신은 휴대전화에 이상을 일으키는 바이러스가 출현했다고 보고하였다. ‘카비르(cabir)’라고 명명된 이 바이러스는 GSM 방식의 심비안(Symbian) OS를 탑재한 휴대전화에 감염되어 휴대전화를 켤 때마다 화면에 ‘카비르’라는 글을 표시했다.
'카비르’는 블루투스 무선표준의 보안취약점을 이용하여 감염되는 것으로 OS에 특별한 이상증상을 일으키지는 않았지만, 네트워크를 사용하는 경우 PC와 마찬가지로 바이러스의 공격대상이 될 수 있다는 것을 보여주었다. 이후 2010년까지 약 600여종의 악성코드가 모바일에 탑재되는 임베디드OS에서 발견되었다.
국내에서도 2009년 12월 아이폰의 도입과 2010년 모토로라와 삼성의 안드로이드폰 출시로 임베디드 OS를 사용하는 휴대전화가 출시되면서 이를 목표로 하는 악성코드가 출현하기 시작하였다.
임베디드OS를 사용하는, 일명 ‘스마트폰’이라 불리우는 모바일의 보안 위협은 기하급수적으로 증가하여 작년까지 140만개 이상의 모바일 악성코드가 나타났다.
이처럼 모바일의 위협이 폭발적으로 증가하는 이유는 PC보다 더 개인적인 디바이스(Device)이기 때문이다. 개인의 연락처, 사진, 이메일, 문자, 전화기록, 신용정보까지 사생활을 모두 담고 있으며, 특히 가장 중요한 것은 인터넷 환경에 항상 연결되어 있다는 것이다.
PC처럼 전원을 종료하면 네트워크가 종료되는 것이 아니고, 24시간 연결되어 있어서 악성코드가 접근하기 쉬운 환경을 제공하고 있는 것이다. 스마트폰 보급률 전세계1위, 사용대수 4천만대를 넘어서고 있는 국내에서 모바일 위협의 증가는 더 이상 안이하게 생각할 수 없는 문제이다.
진화하는 위협
최근 구글은 ‘안드로이드 오토’ 애플은 ‘카플레이’라는 스마트 OS를 이용하여 자동차 시장에 뛰어들었다. 현대자동차는 안드로이드 오토를 탑재한 ‘쏘나타’를 지난 5월 미국에서 선보였으며, GM은 다음달에 애플의 카플레이를 장착한 신형 스파크 차량을 국내에 출시할 예정이다.
삼성도 지난해 자체 개방형 OS인 타이젠을 웨어러블 기기에 탑재하고, 올해부터는 스마트TV로 적용하려는 계획을 세우고 있다. 이렇게 산업전반에 걸쳐서 사물인터넷(Internet of Things, IoT)과 관련된 시장이 커지고 있는데 과연 소비자들은 안심하고 사용할 수 있을까?
미국 라스베가스에서 열리는 보안컨퍼런스 블랙햇에서는 자동차, 비행기, 홈 오토메이션 시스템등 우리 주변에 있는 모든 사물들을 대상으로 취약점을 소개하는데, 해커들은 자동차를 해킹하여 에어컨을 켜고 브레이크를 밟고 핸들을 움직이는 등 모든 것을 마음대로 조작하였다. 비교적 안전하다고 인식되고 있는 아이폰도 원격으로 비밀번호를 해제하고 악성코드를 설치했다. 아이폰의 케이블 연결 시 신뢰할 수 있는 기기인지 묻는 것은 블랙햇 컨퍼런스에서 취약점이 발표된 이후부터 추가된 것이다. USB드라이브 자체의 펌웨어를 변조하여 USB를 꼽기만 해도 악성코드를 설치할 수 있는 기술을 공개하여 USB를 이용하는 업체들에게 두려움을 주기도 하였다. 이외에도 다양한 IoT관련 해킹 사례가 등장하였다.
구체적으로 산업연구원 ‘사물인터넷 시대 안전망, 융합보안산업’ 보고서에 따르면 사물인터넷이 다양한 분야에 적용되는 만큼 보안취약성이 증가할 것으로 예상했으며, 이로 인한 피해액은 2015년 13조4000억, 2020년 17조7000억, 2030년 26조7000억원까지 증가할 것으로 예상하였다.
특히 통신, 교통, 전력망 등의 국가기간 시설의 보안사고는 단순한 금전적인 손실이 아닌 국가신뢰도 추락으로 이어질 수 있다.
결론
지금까지 IT업체들은 자사의 경쟁력 강화를 위한 새로운 플랫폼 경쟁을 벌이면서 사용자의 편의성을 향상시키는 긍정적인 면이 부각되는 반면, 그 이면에 숨겨진 보안문제에 대해서는 상대적으로 경각심을 갖지 않았다.
이러한 경향은 기업의 설비투자에서도 잘 나타나는데, 비용과 가능성 측면에서 본다면 발생할 가능성이 적은 보안문제보다는 제품의 연구개발에 투자하는 것이 더 효율적이었다. 특히 국내의 경우 소비자의 피해가 제대로 인정받지 못하고 기업의 책임도 상대적으로 가벼워 보안에 대한 투자가 인정받지 못했다.
사물인터넷은 이제 새롭게 시작하는 시장이다. 기존의 PC보안과는 다르게 국내의 기업들이 세계 시장을 선도하여 새로운 경제 공간을 창출할 수 있다. 따라서 좀 더 적극적인 투자 및 연구로 진화하는 보안위협에 맞서야 할 때이다.