2017년 CES와 MWC를 통해 사물인터넷이 기술 도입 단계를 지나 상품화 단계로 접어든 것을 확인할 수 있었다. 우리나라도 통신사와 제조사를 중심으로 지금보다 더 다양한 사물인터넷 기기를 만나볼 수 있을 것으로 전망한다. 하지만 장밋빛 전망 뒤에 숨어있는 고민이 있다. 바로 시장확대에 걸림돌이 될 수 있는 고객들의 숨은 불만들이 여전히 존재하기 때문이다. 신기술 적용에 따른 가격 상승, 아직까지 익숙지 않은 사용성 등도 있지만 바로 해킹과 프라이버시 침해에 대한 위협을 가장 큰 불만이라 할 수 있다. 그렇다면 이런 해킹과 프라이버시 침해에 대한 우려는 실제 어느 정도 수준일까?

우선 사물인터넷 기기가 해킹 등을 통해 공격 당하게 되었을 때 발생할 수 있는 문제로 가장 심각한 것이 바로 기기의 제어권이 탈취되어 사용자의 의도와는 달리 기기가 사용될 수 있다는 점이다. 사용자가 동작시키지 않았는데 조명이 켜지거나 도어락의 문이 열릴 수 있다는 이야기다. 둘째, 정보가 탈취되어 개인의 프라이버시가 침해 당할 수 있다. 기기의 위치가 노출되어 사용자의 거주지 정보가 노출되는 경우가 이에 해당한다. 셋째, 냉장고가 해킹되어 스팸을 보내는 경우처럼 2차 피해를 유발할 수도 있고, 이런 과정으로 인해 해당 기기 동작을 방해하거나 성능 저하를 일으킬 수 있다. 이외에도 배터리를 사용하는 센서 기기 등에 공격이 가해져 과도한 배터리 소비를 일으키고, 기대 수명까지 사용하지 못하게 만들거나 기기 공격으로 인한 일부 기능의 오작동이 발생하는 것들이 바로 사물인터넷 해킹으로 발생할 수 있는 문제들이다.

하지만 사물인터넷 기기를 대상으로 한 보안 사고가 우려할만한 수준으로 발생하는지는 꼼꼼히 따져볼 필요가 있다. 지금까지 알려진 대부분의 해킹 사례는 보안 컨퍼런스처럼 실험실 수준에서 소개된 경우가 대다수다. 물론 사물 인터넷 기기가 Wi-Fi, 블루투스, ZigBee, Z-Wave 등 다양한 프로토콜을 이용하고 있기 때문에 프로토콜 자체의 보안 취약점이 발생하여 공격의 대상이 된 경우도 있지만 이미 알려진 프로토콜의 경우는 일정 수준의 보안 성능을 가지도록 설계되어 있고, 실제 취약점이 발생하더라도 새로운 버전을 배포하여 대응하고 있는 상황이다. 그렇다면 사물인터넷의 보안 사고는 주로 어디에서 발생하게 될까?

바로 사물인터넷 기기 자체이다. 사물 인터넷 서비스의 경우 일반적으로 기기가 네트워크에 연결되어 서버와 통신하고, 외부의 앱과 같은 도구를 이용하여 기기를 제어하고, 모니터링하는 구조로 이루어져 있다. 이들 구간 중 네트워크, 서버, 앱은 PC, 모바일 서비스와 동일한 구조를 가지고 있기 때문에 보안 기술 또한 일정 수준에 확보되어 있는 영역이다. 실제로 사물 인터넷이라고 특별한 서버 기술이 사용되는 것은 아니기 때문이다. 하지만 사물인터넷 기기 자체의 보안은 상황이 다르다. 사물인터넷이 확산되면서 기술이 새롭게 성숙하고 있는 분야이고, 제조사에 따라 비용 절감을 위해 보안 기능을 미탑재하거나 소형 센서처럼 보안 기능을 탑재하고 싶어도 기술적 한계가 있는 영역도 있다. 뿐만 아니라 인터넷을 통해 사물인터넷 기기 정보를 손쉽게 입수할 수 있고, 보안에 대한 낮은 인식 등이 이러한 불안감을 가중시키고 있는 상황이다.

그렇다면 사물 인터넷에 대한 보안 위험을 줄이고, 고객들의 불안감을 해소하기 위해서는 어떤 고민들이 이뤄져야 할까? 우선 기기 자체의 보안 점검을 철저히 해야 한다. 이 부분은 안전규격 시험처럼 사물 인터넷 기기의 보안 위험 요소는 출시 전 단계에 점검하고, 해소되어야 하겠다. 다음으로 서비스 사용에 있어 원격제어와 같은 기능은 고객 안전에 영향이 없는 기능으로만 한정할 필요도 있다. 예를 들어, 화재의 위험이 있는 기기는 원격에서 전원을 켤 수 없도록 하거나, 전원을 켜야 한다면 고객이 명시적으로 기기 앞에서 특정 버튼 등을 눌러둔다든지 하여 명확하게 해당 기능을 사용하겠다는 것을 인지시켜야 하겠다. 또한 특정 기간 동안 사물 인터넷 기기 앱을 통해 사용하지 않는 경우라면 휴면회원으로 전환하여 제어 기능 등을 사용할 수 없도록 만드는 것도 고민해볼 수 있다. 이는 잠재적인 보안 위협으로부터 고객을 지킬 수 있는 장치가 될 수 있기 때문이다.

마지막으로 사물 인터넷 기기에 보안 취약점은 기존 PC, 인터넷, 모바일과 마찬가지로 지속적으로 발생할 수 밖에 없다. 그렇기 때문에 이런 위험이 발생할 때 강제로 기기 펌웨어나 앱을 업데이트할 수 있는 장치를 마련해야 할 것이다. 이와 같은 방법만으로도 가상세계의 공격이 물리 세계의 대규모 피해로 확대되는 위협은 크게 줄어들 것이다. 이런 과정을 통해 고객들이 가지고 있는 막연한 불안감을 떨치게 하여 사물 인터넷 비즈니스가 지금보다 더 빨리 확대되기를 기대해본다.

황재선 neovis@gmail.com 필자는 IoT이 가져올 우리 삶의 변화를 예측하고, 연구하는데 관심이 많다. 초등학교 시절부터 프로그래밍을 시작해, 지금까지 8권의 IT 서적을 집필/번역할 정도로 IT에 관심과 애정을 가지고 그 변화의 흐름을 관찰하는 것을 좋아한다.

(*이 칼럼은 Nextdaily의 편집방향과 다를 수 있습니다.)