[인터뷰] "IoT와 생성 AI 융합 시작... 취약점 대비 시급"
"AI 선구자인 영국 수학자 앨런 튜링은 '20세기 말이 되면 어떤 질문에 대해 사람이 대답하는 지, 기계가 대답하는 지 알기 힘들어질 것'이라고 예견했죠. 70년이 지난 지금 화제를 모으는 생성 AI가 바로 앨런 튜링이 예상했던 '사람을 따라하는 기계'입니다." 6일 오전 서울 연세대학교 소재 연구실에서 기자와 만난 권태경 연세대학교 정보대학원 정보보호연구실 교수의 말이다. 권태경 교수는 이날 "가정용 기기에서 실행할 수 있을 만큼 경량화된 생성 AI 모델이 등장해 IoT(사물인터넷) 기기에 머지 않아 탑재될 것이며 이는 많은 취약점을 낳을 것"이라고 우려했다. 또 "IoT 기기는 무선으로 인터넷에 연결되는 이상 다양한 경로로 들어오는 공격이나 침해 위협을 피할 수 없으며 보안 강화를 위한 업계와 정부의 노력이 필요한 상황"이라고 지적했다. "일반 소비자, IoT 기기 노린 공격에 무방비 노출" -최근 IP 카메라나 로봇청소기 등 다양한 가정용 IoT 기기를 노린 공격이 빈번하게 일어나고 있습니다. 이런 공격이 계속 벌어지는 이유가 무엇이라고 보십니까. "일반 이용자들이 쓰는 기기를 공격하면 먼저 개인정보를 탈취할 수 있고, 개인에 불안감을 심어줄 수 있습니다. 그런데 일반 개인은 보안에 대한 의식도 낮고 방어할 수 있는 방법도 사실 마땅치 않아요. 무방비로 노출된다는 게 큰 문제입니다." -최근까지 벌어진 사례를 보면 주로 음성을 들려주거나, 영상을 가로채 유포하는 공격이 많은데요, 추가로 어떤 시나리오를 예상할 수 있을까요. "IoT 기기에 내장된 마이크나 카메라는 이용자와 편하게 소통하기 위한 장치인데 이를 악용하면 여러 정보를 훨씬 쉽게 얻을 수 있죠. 이 외에도 해킹을 통해 무선통신 관련 정보를 얻어서 추가로 악용할 수 있겠습니다." -예를 들어 유무선공유기를 공격해서 악성코드 유포에 악용할 수 있다는 말씀인가요. "맞습니다. 유무선공유기 뿐만 아니라 IoT 기기는 사실 작은 컴퓨터입니다. 와이파이나 블루투스를 통해 이들 기기를 해킹하면 저도 모르게 다른 기기나 서비스를 공격하는 봇넷(BotNet), 악성코드 유포에 악용될 수 있습니다." "제조사 속한 나라로 안전성 단정하기 어려워" -현재 일반 소비자에 널리 보급된 IoT 기기 중 상당수가 중국 제조사 제품입니다. 또 소비자들이 중국에 가지는 인식도 좋지 않습니다. 그러나 보안 강도를 따질 때 제조사 국가만 놓고 판단하기 어려워 보이는데 어떻게 생각하십니까. "중국 제조사 제품이 문제가 되는 것은 많이 팔리기 때문에 우선 공격 대상이 될 수 있을 것이고, 제품에 쓰이는 기술들이 많이 개방돼 목표물이 될 수도 있습니다. 그러나 국내 제조사가 완전무결한 기술을 도입했기 때문에 안전하다고 주장할 수는 없습니다." -구체적인 판단 방법에는 어떤 것이 있을까요. "세 가지 측면에서 봐야 할 문제입니다. 예를 들어 자국 내에서 만드는 모든 제품에 대해 어느 정도의 보안 수준을 요구하는 지가 다릅니다. 또 제조사의 판매 전략도 보안 강화 수준에 따라 달라질 것입니다." "마지막으로는 기술의 측면인데요, 예를 들어 해킹을 완전히 방어할 수 있는 강력한 기술을 국내 제조사가 도입하고 있다면 국내 제품이 안전하다 할 수 있을 것입니다. 그러나 이 세 가지 측면에서 볼 때 보안 관련 안전성은 어느 업체나 크게 다르지 않다고 봅니다." "제조사, 내장 S/W에 '시큐어 코딩' 도입해야" -IoT 기기의 보안을 강화하려면 제조사는 어떤 노력을 해야 할까요. "어느 제조사나 안전한 기술을 도입하기 위해 많이 노력을 할 것입니다. 해킹이나 공격에서 보다 안전한 '시큐어 코딩'(Secure Coding)을 해야 하고, 외부 전문가에게 소프트웨어 취약점을 찾도록 장려하는 '버그 바운티'도 고려해야 합니다." -일부 제조사는 버그 바운티 프로그램으로 취약점이 더 많이 노출되는 것을 꺼리기도 하고, 소비자들도 부정적으로 인식할 여지가 있어 보입니다. "오히려 버그 바운티 프로그램을 운영하는 회사를 신뢰하는 게 맞습니다. 적어도 취약점을 최소화하기 위해 검증 절차를 거치고 있다는 의미거든요." "이용자는 부지런한 업데이트와 비밀번호 관리 필요" -이용자나 소비자는 어떻게 대처해야 할까요. "제품이나 앱의 업데이트가 나오면 미루지 말고 바로 업데이트해야 하는 습관을 들여야 합니다. 또 제조사가 ID나 비밀번호를 안전한 것으로 자주 바꾸라는 데에도 다 이유가 있습니다. 최대한 권고사항을 따르는 것이 좋죠." -비밀번호를 외우기 힘들다는 이유로 자주 바꾸지 않는 사람들이 많은데요. "본인이 잊어버리지 않을 정말 쉬운 단어를 연결해 최대한 긴 비밀번호를 만드는 것이 더 안전하다는 연구 결과도 있었습니다. 또 IoT 기기 연결을 위한 비밀번호는 숫자로만 구성되는데 이를 자주 바꿔줘야 합니다." -이 외에 추가로 좋은 방법이 없을까요. "IoT 관련 비밀번호를 만든 뒤 잘 적어서 보관해 두는 것도 좋습니다. IoT 기기를 해킹하는 사람들이 네트워크를 이용하지 집이나 사무실에 직접 들어와 공격하지는 않거든요. 이런 방식으로 비밀번호를 관리하는 것도 팁이라 할 수 있습니다." "'패스워드 스프레이' 공격, 쉬운 비밀번호 노린다" -단순한 비밀번호를 쓸 때 벌어질 수 있는 문제에는 어떤 것이 있을까요. "예를 들어 숫자 네 자리로 구성된 비밀번호는 불과 몇 초만에 뚫립니다. 또 사람들이 흔히 쓰거나 이미 노출된 비밀번호가 정리된 '레인보우 테이블'(Rainbow Table)이 있는데, 이런 데이터로 계속 시도하면 뚫리는 건 시간 문제입니다. 최근 등장한 '패스워드 스프레이' 공격도 문제입니다." -패스워드 스프레이 공격은 어떤 방식인지 상세히 설명을 부탁드립니다. "예를 들어 한 아파트 단지에 있는 수백 개 가구 중에 도어락 비밀번호를 '1234'로 쓰는 집이 반드시 한 곳은 있을 겁니다. 모든 집 앞에서 비밀번호를 눌러보면 한 곳은 열리지 않겠습니까? 시장 점유율이 높은 제조사 기기에도 같은 방식으로 공격을 시도할 수 있는 거죠." "IoT 기기 구입 전 제조사 어떤 회사인지 면밀히 따져야" -IoT 기기를 안전하게 쓰려면 결국 제조사를 보다 면밀히 보는 것이 효과적이겠군요. "맞습니다. 제조사가 주는 소프트웨어와 하드웨어를 믿고 써야 하기 때문에 이 회사가 보안 관련 정보를 투명하게 공개하는지, 혹은 특정 국가 정부와 결탁하지는 않았는지, 제3자에게 검증받는지를 확인해야 합니다." -국가적인 차원에서도 일정 부분 검증이 필요해 보입니다. "검증되지 않은 IoT 기기가 무기로 돌변할 위험은 충분히 있습니다. 외국산 IoT 기기나 가전제품에 대해 문제가 없는지 국가 차원에서 검증을 하고 보증하는 절차가 필요한 시점인 것 같습니다." -IoT 업계 공통의 노력이 필요해 보이는데 혹시 업계나 학계에 이런 움직임이 있나요. "IoT 기기를 보다 효율적으로 안전하게 쓸 수 있는 업계 표준인 '매터'(Matter)가 있습니다. 또 생성 AI와 IoT를 결합한 AIoT 개념이 등장하면서 보안을 강화하려는 움직임은 앞으로 더 활발해 질 것입니다." 권태경 교수는 권태경 교수는 연세대학교에서 컴퓨터공학과 학사·석사·박사 학위를 취득한 후 1999년부터 2000년까지 1년간 미국 캘리포니아 대학교 버클리에서 박사후연구원 과정을 수행했다. 2001년부터 2013년까지 서울 세종대학교 컴퓨터공학과 교수로 재직 후 2013년부터 현재까지 연세대학교 정보대학원 교수로 재직 중이다. 2020년부터 연세대학교 인공지능대학원 교수도 겸임 중이다. 주 연구 분야는 인증, 암호화 프로토콜, 네트워크 보안, 소프트웨어·시스템 보안, 적대적 기계학습(AML)이며 한국정보보호학회 이사, 대검찰청 디지털수사 자문위원, 국가정보원 암호연구회 운영위원으로 활동 중이다.