[사진 = 연합뉴스]

■ N번방 사태에서 드러난 해킹 사례

N번방 전 운영자인 '와치맨' 전모씨(38)가 IP카메라를 해킹해 얻은 불법 촬영물을 음란물 사이트에 유포했던 것으로 알려지면서 사물인터넷(IoT)을 활용한 스마트홈 기술의 보안에 대한 경각심이 커지고 있다. 보안이 뚫리면 편리한 생활을 보장하던 기술이 끔찍한 사생활 노출과 범죄 피해로 직결될 수 있기 때문이다.

이번 사건에서 전모씨는 다른 사람의 IP카메라를 해킹해 사생활을 훔쳐보고 이를 해외 서버를 이용해 불법으로 유포한 혐의로 기소돼 지난해 6월 대구지방법원에서 징역 1년에 집행유예 3년을 선고받았다. 그러나 집행유예 기간 중에도 그는 다시 음란물 게시 사이트를 운영하고 음란물을 유포해 검찰로부터 징역 3년 6월을 구형받았다. 현재 검찰은 법원을 상대로 변론 재개를 신청했다.

IP카메라 해킹은 지속적으로 제기된 보안 문제 중 하나다. IP카메라를 사용하면 유·무선 인터넷과 연결돼 영상을 실시간으로 보내거나 원격으로 모니터할 수 있다. 이를 노린 범죄자들은 해킹을 통해 IP카메라의 접근 권한을 얻고 타인의 사생활을 불법 유포하는 것이다. 지난해 10월 다른 사람의 집에 설치된 IP카메라 1853대를 해킹한 뒤 1만665번 가량 접속해 사생활을 훔쳐본 혐의로 기소된 A씨(40)가 징역 1년을 선고받았다. 또 2018년에는 국내에서 반려동물 관리용 IP카메라 2912대를 해킹해 3만9700여회에 걸쳐 여성의 나체와 성관계 장면을 녹화했다가 경찰에 적발된 사례도 있다.

■ 다른 IoT제품도 해킹 가능성 있어

그러나 이는 IP카메라만의 문제는 아니다. 인터넷에 연결할 수 있는 제품, 즉 사물인터넷(IoT) 제품이라면 무엇이든 해킹의 표적이 될 수 있다.

특히 주택 내 IoT 기술을 적용한 스마트홈 기술의 경우 해킹 문제는 더 심각해진다. 스마트홈 기술은 물리적으로 거리가 있더라도 IoT 기술을 활용해 가전제품을 다룰 수 있게 한다. 사무실에서도 거실에 있는 조명·전열·냉난방 관리가 가능해지는 것이다. 현재는 차량 위치 확인 및 문 잠금에까지 쓰인다. 사용자들 편의를 위해 다양한 권한을 부여받는 것이다.

그러나 스마트홈 기술인 디지털 도어록의 경우 해킹된 사례가 나와 파장이 일기도 했다. 지난해 9월 모 기업의 스마트워치를 이용하면 등록되지 않은 디지털 도어록도 열 수 있다는 사실이 알려졌다. IoT 기술이 되레 소비자들을 겨누는 칼이 된 것이다.

■ IoT 보안 인증 통해 사고 예방 가능해

이와 같은 보안 사고를 예방하기 위해 한국토지주택공사(LH)나 서울주택도시공사(SH공사)는 공공기관인 한국인터넷진흥원(KISA)의 IoT 보안 인증서를 요구한다. 제품 규모에 따라서 인증 등급도 달라진다. 센서 등 소형제품은 최소한의 조치 항목을 담은 라이트 등급으로, 중대형 스마트가전 제품에는 국제적인 요구수준의 종합적 보안조치 항목을 포함한 스탠다드 등급으로 평가한다.

KISA는 홈네트워크건물인증 보안점검도 운영해 홈IoT 서비스 품질을 관리한다. 이는 건설사 및 IoT 제조사 등에서 서비스를 위해 구축한 인프라와 IoT 기기 등에 대해 발생할 수 있는 취약점을 사전에 점검하는 제도다. 앱 보안과 기기 보안 등을 점검해 IoT 기기에서 발생할 수 있는 취약점을 제거했는지 살펴본다.

KISA에서는 IoT 제품을 처음 사용할 때 인증정보를 설정하도록 요구하거나, 초기 인증정보를 변경하도록 요구해야 한다고 규정한다. 이는 2017년 12월 과기정통부에서 'IP카메라 종합대책'으로 내놓았던 사안이다. 당시 정부는 IP카메라 제조·판매·수입업체에 초기 비밀번호를 단말기마다 다르게 설정하거나 이용자가 변경해야 동작하는 기능을 탑재하도록 의무화를 추진했다.

■ 커지는 IoT시장…해결은 어떻게

사물인터넷 시장은 연평균 23.7% 성장률을 기록했다. 과학기술정보통신부는 올해 2월 '2019년 사물인터넷 산업 실태조사 결과'에서 2019년 사물인터넷 매출액이 전년대비 16.2% 증가해 10조 9379억원을 기록했다고 밝혔다. 전년도 배달 음식 서비스 거래액이 9조7365억원이라는 점을 비춰볼 때 IoT 시장의 규모는 날로 커지고 있다고 할 수 있다.

현재 IoT 보안 인증은 의무 사항이 아니어서 민간 참여는 자율에 맡겨진 상태다. 공공기관 납품 시 한국정보통신기술협회(TTA)에서 실시하는 보안 인증을 의무화한 것 정도가 전부다. 홈네트워크건물인증 보안점검을 거친 기업(3대 통신사 제외)은 삼성SDS·현대통신을 포함해 6곳에 불과했다. 권헌영 고려대 정보보호대학원 교수는 "해킹은 사이버 공간의 침해만 유발하는 것이 아니다"라며 "국민들이 안전하게 쓸 수 있도록 보안을 강화해야 할 필요가 있다"고 했다.

보안 사고에 대한 처벌이 강화되면 보안 인증이 자연스럽게 늘어날 것이라는 지적도 있다. 글로벌 기업 야후의 경우 2013년 발생한 개인정보 유출로 피해자 2억명에게 1억1750만달러(1337억7000만원)에 달하는 합의금을 부과받았다. 미국의 경우 기업의 행위가 악의적이라고 인정되는 경우 징벌적 손해배상이 가능해 가중 처벌하기 때문이다.

하지만 국내에서는 징벌적 손해배상이 인정되지 않는다. 국내 기업 인터파크는 2016년 개인정보 유출 사례로 가장 높은 과징금을 받았지만 44억 8000만원과 2500만원의 과태료 수준에 그쳤다.

김승주 고려대 정보보호대학원 교수는 "미국의 경우 징벌적 손해배상을 피하려면 사이버 보험, 보안 인증 등으로 책임을 다했다는 것을 증명해야 한다"며 "우리나라도 보안 인증을 의무적인 것이 아니라 자연스러운 것으로 여기게끔 보안 생태계가 바뀌어야 한다"고 했다.

[이축복 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]