IP 카메라·로봇청소기 등 가정용 IoT 기기 공격 급증

코로나19 범유행 기간동안 가정 내 보급된 로봇청소기, IP 카메라, 냉장고와 에어컨 등 사물인터넷(IoT) 기기를 노린 공격이 기승이다. 최근에는 불쾌감을 유발하는 소리를 들려주거나 프라이버시를 침해하는 등 불안감을 주는 시도가 두드러진다. 한국인터넷진흥원(KISA)와 국내 보안 전문가들은 "블루투스와 와이파이로 인터넷에 연결된 기기는 제조사를 막론하고 100% 안전할 수 없다"며 제조사와 이용자의 철저한 대비를 주문했다. KISA "작년 하반기부터 국내외 시장서 IoT 기기 노린 공격 급증" 한국인터넷진흥원(KISA)은 올 초 공개한 '2023 하반기 사이버 위협 동향 보고서'에서 "2023년 9월부터 IP 카메라를 공격하는 악성코드가 급격히 전파되고 있다"고 우려했다. 실제로 올 8월에는 국내 가정에 설치된 IP 카메라에서 유출된 영상 수백개가 해외 사이트와 텔레그램 등 메신저에서 무차별 유포되는 사례가 등장했다. 지난 10월 하순에는 국내 뿐만 아니라 해외에서 높은 시장점유율을 확보한 에코백스 로봇청소기가 미국 소비자에게 욕설을 들려주고 반려동물을 쫓아다니며 겁을 주는 영상이 공개됐다. 에코백스 관계자는 지디넷코리아 질의에 "해당 사례는 외부에서 기기에 접속할 수 있는 에코백스 계정에 외부에서 유출된 ID와 비밀번호를 무차별로 대입하는 신원정보 기반 공격으로 일어난 것"이라고 답했다. 이어 "에코백스는 이용자 보호 강화를 위해 블루투스 인증 프로토콜 강화, 이메일과 문자메시지를 이용한 이중인증(2FA), 실시간 토큰 활성화 등을 적용할 예정이다. 국내 소비자에서 해당 사례를 겪은 사례는 파악되지 않았다"고 밝혔다. "IoT 기기 공격, 와이파이 타고 유무선공유기도 노린다" 권태경 연세대학교 정보대학원 정보보호연구실 교수는 "가정용 IoT 기기를 노린 공격이 늘어나는 이유는 개인정보 탈취와 사회적 불안 조장 등을 꼽을 수 있으며 특히 개인은 보안 의식이 상대적으로 낮고 방어할 수 있는 방법이 없어 무방비로 노출된다는 것이 큰 문제"라고 지적했다. 이어 "와이파이나 블루투스로 무선 통신이 가능한 것이 가장 큰 약점이며 IoT 기기 뿐만 아니라 유무선공유기 역시 작은 컴퓨터이며 이를 탈취하면 악성코드를 퍼뜨리는 '봇넷'(BotNet)으로 작동할 수 있다"고 설명했다. 권 교수는 "대부분의 IoT 기기는 가정 내 와이파이를 이용해 인터넷에 연결되는데 IoT 기기에 먼저 접근한 다음 유무선공유기를 공격해서 악성코드 감염이나 가짜 사이트 접속을 유도하는 것도 얼마든지 가능한 시나리오"라고 설명했다. "제조사 속한 나라만으로 안전성 따지면 안돼" 일각에서는 로봇청소기 등 IoT 기기 제조사의 대부분을 차지하는 중국산 제품이 국산 대비 신뢰도가 떨어진다고 주장한다. 최근 각종 침해 사례를 겪은 에코백스는 "블루투스 연결 취약성을 악용한 해킹은 모든 IoT 기기에 발생할 수 있는 잠재적 위험"이라고 반박했다. 권태경 교수 역시 "기술적인 차원에서만 판단하자면 제품 제조사가 속한 나라만 가지고 안전성을 파악하는 것은 바람직하지 않다. 예를 들어 삼성전자는 2015년 사이버보안 컨퍼런스 '데프콘23'에서 스마트 냉장고를 출품했다 공격당한 이후 보안을 크게 강화했다"고 설명했다. 이어 "연구자나 화이트 해커를 대상으로 제품의 취약점을 찾도록 장려하는 버그 바운티(Bug Bounty) 프로그램을 운영하고 취약점을 노출시키지 않는 시큐어 코딩(Secure Coding) 방법론을 적용하는 회사라면 국적에 관계 없이 신뢰할 만한 제품"이라고 설명했다. "보안 정책 불투명한 제품 '묻지마 직구' 위험" 권태경 교수는 "보안에 대한 배려 없이 원가 절감에 치중한 제조사 제품을 가격만 보고 해외 직구로 구매하는 것은 바람직하지 않다. 제조사의 보안 정책은 안전한지, 각종 업데이트는 제때 제공되는지, 보안 관련 사항을 투명하게 알리는 지 따져야 한다"고 설명했다. 이어 "이용자 역시 제조사가 제공하는 보안 업데이트를 미루지 말고 제때 적용하는 한편 서비스와 관련된 비밀번호도 안전한 것으로 선택하고 자주 바꿔야 한다"고 조언했다. KISA 역시 올 1월 공개한 '2023 하반기 사이버 위협 동향 보고서'에서 "인터넷에 노출된 모든 기기는 언제나 공격대상이 될 수 있으며 취약한 비밀번호 변경, 최신 소프트웨어 업데이트 등 IoT 기기를 안전하게 쓰기 위한 노력이 필요하다"고 설명했다.