'월패드 사건' 10개월...실태조사 결과 "보안관리 미흡"

이상우 기자 입력 : 2022-07-31 08:00 수정 : 2022-07-31 14:35:55
IoT 기술 적용한 아파트, 물리·정보보안 관리 여전히 취약 정부, 원격 지원 및 SECaaS 등 보안 강화 위한 지원 확대
이상우 기자 2022-07-31 14:35:55
  • 카카오스토리
  • 밴드
  • 웨이보
  • URL 공유하기
  • 카카오톡

[사진=게티이미지뱅크]

지난해 10월 한 해킹 커뮤니티에서 국내 아파트 실내 모습이 해커에 의해 무단으로 녹화돼 유포됐다. 해커가 실내 사물인터넷(IoT) 기기를 관리하는 장치인 '월패드'를 해킹해, 내장된 카메라로 사생활 영상을 촬영한 사건이다.

아파트 월패드는 집안의 가전제품과 조명 등 시설을 관리하는 IoT 기기다. 거주자는 외부에서도 스마트폰 앱을 이용해 아파트 서버를 거쳐 가정 내 월패드에 접속한다. 이러한 홈네트워크 구조에서는 폐쇄회로 텔레비전(CCTV) 같은 아파트 단지 공공시설물, 관리를 위한 서버, 각 세대 월패드, IoT 기기 등 모든 것이 사이버 공격 대상이 될 수 있다.

정부는 해당 사건 이후 가정에서 보안을 강화할 수 있는 방안을 안내하는 한편, 해커가 아파트 네트워크에 침투하더라도 다른 세대로 침투할 수 없도록 세대 간 망을 분리하도록 했다.

또한 과학기술정보통신부(과기정통부)는 지난달 국토교통부(국토부), 산업통상자원부(산자부) 등과 함께 IoT 기술이 접목된 스마트 홈에 대해 전국 20개 아파트를 선정하고 기술기준 준수 여부와 보안관리 실태를 조사했다.

조사 결과 20개 단지 모두 세대 내 조명이나 난방 등을 네트워크로 연결하고, 스마트폰 등 기기를 이용해 접속할 수 있는 기능을 갖춘 것으로 나타났다. 장비 역시 과기정통부와 산업부의 인증 규정에 따라 KC인증을 획득했으며, 기술기준을 잘 준수하는 것으로 조사됐다.

하지만 보안은 상대적으로 취약했다. 우선 물리적인 요소의 경우 11개 단지는 서버나 게이트웨이 등 설비가 설치된 공간에 잠금장치가 미흡했으며, 3개 단지는 주요 설비에 대해 CCTV를 설치하지 않았다. 특히 1개 단지는 주요 설비를 방재실에 설치하는 등 설치 기준을 위반하기도 했다.

관리자가 관리용 PC 등의 보안을 철저하게 했더라도 이러한 시설에 사이버 공격자가 물리적으로 침입해 악성코드를 설치한다면, 서버를 직접 제어해 정보를 유출하거나 원격에서 조작하는 것이 가능하다. 특히 CCTV 등 관제가 미흡할 경우 물리적인 침입 여부조차 인지하지 못할 가능성이 크다.

대부분의 단지가 정보보안도 취약했다. 20개 단지 모두 관리사무소의 관리용 PC 비밀번호를 '11' 등으로 취약하게 설정했으며, 지난 2020년 1월 기술지원이 종료된 윈도7 운영체제를 사용하는 단지도 8곳이나 있었다. 또한 운영체제나 소프트웨어 등에 최신 보안 업데이트를 적용하지 않은 단지는 20개 중 18개로 조사됐다.

사이버 공격자는 자동화된 도구를 이용해 비밀번호를 찾아낸다. 비밀번호 대입에 사용하는 데이터에는 흔히 사용하는 비밀번호 역시 포함돼 있다. 때문에 비밀번호에는 알려진 단어나 전화번호 등 추측할 수 있는 정보를 피하고, 길이가 길고 무작위로 입력한 비밀번호를 이용하는 것이 좋다. 특히 스마트폰 앱이나 일회용 비밀번호 생성기 등 추가적인 인증을 사용한다면 비밀번호 노출을 막을 수 있다.

정부는 이번 실태조사 결과를 각 지방자치단체에 공유하고, 설비 설치기준을 위반한 단지에 대해서는 해당 지방자치단체가 관계법령에 따라 사업주체나 관리주체를 통해 조치하도록 했다. 또한 지역별 공동주택을 대상으로 기술기준 준수 여부에 대한 추가 조사를 요청할 계획이다.

보안 강화를 위한 지원 서비스도 확대한다. 한국인터넷진흥원(KISA)은 현재 '내 서버 돌보미' 서비스를 통해 중소기업이 운영하는 서버에 대해 원격에서 보안 취약점을 점검하고 개선 사항을 안내하는 사업을 진행 중이다. 과기정통부는 해당 사업을 확대해 아파트 서버 등에도 이를 지원한다. 이 사업으로 보안 전문가가 직접 공동주택을 방문해 홈네트워크 전반에 대한 보안 취약점을 점검하고 조치할 수 있도록 안내할 계획이다.

클라우드 기반 보안 관제 서비스 지원도 실증 및 확산할 계획이다. 클라우드 기반 보안 서비스(SECaaS, Security as a Service)는 각종 보안 솔루션과 관제 등을 클라우드 형태로 제공하는 방식이다. SECaaS를 도입하는 기업은 별도의 보안 전문 인력이나 솔루션을 직접 구축하지 않아도 보안을 강화할 수 있다. 때문에 보안에 대한 투자 확대가 어려운 중소기업의 부담을 줄이는 것이 가능하다.

공동주택 역시 일반 기업과 비교해 보안 전문 인력을 갖추기 어려우며, 이 때문에 체계적인 관리 역시 불가능하다. 정부는 이러한 공백을 해소하기 위해 민간의 보안 전문 인력이 원격에서 보안 서비스를 제공할 수 있도록 클라우드 기반 보안관제 서비스 등 다양한 보안 서비스를 실증 및 확산할 계획이다.

또한 소비자가 더 안전한 '스마트홈'을 선택하기 쉽도록 '홈네트워크 보안인증 마크(가칭)' 도입도 검토할 계획이다. 앞서 과기정통부는 IoT 기기 등 식별 및 인증, 데이터 보호, 암호화, 소프트웨어 보안 등을 갖춘 기기에 대해 정보보호인증 제도 도입을 추진한 바 있다. 이러한 개념을 공동주택에도 확대 적용하면 건축사의 자발적인 보안 강화와 이를 통한 마케팅을 지원할 수 있으며, 소비자 역시 더 안전한 주거 환경을 선택할 수 있다.

과기정통부 관계자는 "공동주택이 해킹 등 사이버침해로부터 보다 안전하려면 관리자와 입주민의 홈네트워크 보안수칙 준수가 중요하다. 무엇보다도 홈네트워크 기기‧장비 등에 대한 지속적인 유지보수 관리체계가 필요하다"며 "보안기업과 지자체 및 공동주택과 협력해 다양한 보안서비스를 발굴해 적용토록 하고, 지능형 홈네트워크의 보안성이 강화될 수 있도록 최선을 다하겠다"고 밝혔다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지