2015.12.09

글로벌 칼럼 | “등잔 밑이 어둡다” 확산되는 스마트 장난감의 보안 위협

Mike Elgan | Computerworld
장난감은 위험한 존재다.

장난감의 뾰족한 모서리나 불량 소재 등에 관한 이야기가 아니다.

이제 우리는 이러한 물리적 위험뿐 아니라, 해킹이라는 새로운 형태의 위협까지 고민해야 하는 시대에 도달했다. 스마트, 연결형(connected) 장난감들의 등장과 함께 지적되어오던 해킹의 가능성이, 바로 지난 주 실제로 발생한 것이다.

물론 이러한 스마트 장난감들은 분명 전통적인 장난감보다 아이들에게 더 많은 즐거움을 줄 수도 있고, 대부분의 경우 큰 위험 없이 사용할 수 있는 것이 사실이다. 하지만 지난 주의 사건을 통해 우리는 새로운 세대의 장난감들이 내재하고 있는 새로운 형태의 위험을 실제로 확인하게 됐다.

사건의 주인공은 홍콩 기반의 소비자 가전 제조사이자 세계 최대의 장난감 제조사 중 한 곳인 브이테크(VTech)였다. 브이테크는 키드 커넥트(Kid Connect)라는 자체 프로그램을 개발해 스마트 장난감을 통한 아동과 부모 간의 채팅을 지원하고 콘텐츠 다운로드 기능을 제공해왔는데, 지난 11월 14일 해당 프로그램에 해킹 공격이 가해진 것이다.

공격자는 데이터 유출 사실을 온라인 매체인 마더보드(Motherboard)에 공개하고 이번 해킹이 브이테크의 허술한 보안 체계를 폭로하기 위해 이뤄진 것이라 밝혔다.

그는 공격을 통해 사용자의 이름과 우편번호, 이메일 계정, IP 주소, 다운로드 기록, 성별 및 생년월일, 사진, 채팅 기록 등 매우 많은 개인 정보를 유출하는데 성공했다.

보고서에 따르면 이번 해킹으로 636만 8,509명의 아동과 485만 4,209 명의 부모 사용자들의 개인 정보가 유출됐으며, 지역별로는 미주 지역에서 300만 여명의 아동이, 유럽 지역에서 100만 여 명의 아동이 피해를 입은 것으로 확인됐다.

본 칼럼은 이러한 해킹 공격에 관한 낙관적인 견해와 비관적인 견해를 종합적으로 다루는 방식으로 전개될 것이다. 우리의 아이들에게 닥친 새로운 위협에 관해, 그리고 그간 어디에서도 들어보지 못했을 우리 아이들을 위한 유익한 조언들에 귀 기울여보자.

최상의 시나리오
브이테크의 사례처럼 어떤 윤리적 해커가 취약한 보안을 지적하기 위해 저지르는 해킹은 그나마 가장 좋은 시나리오라고 볼 수 있다. 기업의 입장에선 망신스러운 일로 여겨질 수도 있지만, 그럼에도 자신들의 보안 활동을 제대로 점검하고, 고객 데이터를 보호할 방법을 검토하고 개편할 기회를 제공해주기 때문이다.

실제로 브이테크 역시 이미 파이어아이(FireEye) 소속의 맨디언트(Mandiant) 보안 수사 그룹과 함께 자사 인프라 보안 전반을 검토하는 작업을 시작했다. 즉 이번 사건으로 브이테크 사용자들에게 실제적인 피해가 가해지지는 않은 것이다.

이것이 최상의 시나리오라면, 최악의 시나리오는 무엇일까?

최악의 시나리오
해커들이 밝힌 브이테크의 보안 체계는 처참한 수준이었고, 때문에 선의의 해커들이 먼저 나서지 않았다면 언젠간 고객 데이터들이 유출되어 악용될 가능성이 분명히 있었다.

이번 해킹을 저지른 익명의 해커는 마더보드를 통해 “브이테크의 상황을 볼 때, 굳이 나뿐만 아니라 마음만 먹는다면 누구라도 이들 기업의 데이터를 빼낼 수 있었을 것이다.”라고 지적했다.

그리고 실제로 악의적인 해커에 의해 데이터가 유출됐다면, 그것이 암시장을 통해 거래되고, 데이터를 입수한 어떤 소아성애자가 아이들의 사진을 보며 범죄를 계획하는 등 역시 충분히 상상 가능한 상황이다. 이메일 계정 뿐 아니라 사진, 주소, 부모와의 채팅 기록과 같이 아이들의 사생활을 추적할 수 있는 데이터들 역시 무방비로 유출됐다는 점에서 이번 사건이 잠재하고 있던 위험성은 특히 크다고 할 수 있을 것이다.

브이테크는 자신들의 서투른 정책과 보안 인프라가 끔찍한 아동 범죄를 야기하는 최악의 상황으로까지는 이어지지 않았다는 사실에 감사해야 할 것이다.

누구도 안심할 수 없다
브이테크 사태는 시장에 경각심을 불러일으키는 역할을 했다. 실제로 몇 해 전부터 많은 제조사들이 온라인 네트워크를 활용하는 아동용 장난감을 선보이고 있다. 아이들이 장난감을 가지고 어른들의 모습을 흉내 낸다는 점에서 이런 연결형 장난감들의 역할은 전통적인 장난감과 동일하지만, 그 구체적인 활동에 있어서는 약간의 차이가 존재한다. 오늘날의 아이들은 오븐에서 빵을 굽거나 트럭을 모는 부모님의 모습이 아닌, 랩탑이나 스마트폰을 사용하는 부모님의 모습을 모방한다는 점이다.

굳이 이런 경우가 아닌, 전통적인 형태의 놀이 경험을 제공하는 장난감들 역시 인터넷 연결을 통해 기능성을 확장하는 경향을 나타내고 있다.

이런 경향의 대표적인 사례로는 마텔(Mattel)사가 연말 시즌을 겨냥해 출시한 헬로 바비(Hello Barbie) 모델을 이야기해 볼 수 있다.

헬로 바비는 원거리에있는 데이터 센터의 인공지능 프로그램과 어린이가 대화를 할 수 있도록 한다.

헬로 바비는 언어 처리 인공 지능 소프트웨어 공급자 토이토크(ToyTalk)와의 협업을 통해 전통적인 바비 인형에 대화 기능을 추가한 모델로, 와이파이에 연결돼 동작하며 그 방식은 애플의 시리와 유사하다. 아이가 (인형에 부착된 버튼을 누른 뒤) 인형에게 무언가를 질문하면 프로그램은 이를 녹음, 압축해 토이토크의 외부 서버로 전송하고, 소프트웨어는 해당 질문을 분석해 적절한 답변을 구성한 뒤 이를 다시 인형에게 전송한다.



2015.12.09

글로벌 칼럼 | “등잔 밑이 어둡다” 확산되는 스마트 장난감의 보안 위협

Mike Elgan | Computerworld
장난감은 위험한 존재다.

장난감의 뾰족한 모서리나 불량 소재 등에 관한 이야기가 아니다.

이제 우리는 이러한 물리적 위험뿐 아니라, 해킹이라는 새로운 형태의 위협까지 고민해야 하는 시대에 도달했다. 스마트, 연결형(connected) 장난감들의 등장과 함께 지적되어오던 해킹의 가능성이, 바로 지난 주 실제로 발생한 것이다.

물론 이러한 스마트 장난감들은 분명 전통적인 장난감보다 아이들에게 더 많은 즐거움을 줄 수도 있고, 대부분의 경우 큰 위험 없이 사용할 수 있는 것이 사실이다. 하지만 지난 주의 사건을 통해 우리는 새로운 세대의 장난감들이 내재하고 있는 새로운 형태의 위험을 실제로 확인하게 됐다.

사건의 주인공은 홍콩 기반의 소비자 가전 제조사이자 세계 최대의 장난감 제조사 중 한 곳인 브이테크(VTech)였다. 브이테크는 키드 커넥트(Kid Connect)라는 자체 프로그램을 개발해 스마트 장난감을 통한 아동과 부모 간의 채팅을 지원하고 콘텐츠 다운로드 기능을 제공해왔는데, 지난 11월 14일 해당 프로그램에 해킹 공격이 가해진 것이다.

공격자는 데이터 유출 사실을 온라인 매체인 마더보드(Motherboard)에 공개하고 이번 해킹이 브이테크의 허술한 보안 체계를 폭로하기 위해 이뤄진 것이라 밝혔다.

그는 공격을 통해 사용자의 이름과 우편번호, 이메일 계정, IP 주소, 다운로드 기록, 성별 및 생년월일, 사진, 채팅 기록 등 매우 많은 개인 정보를 유출하는데 성공했다.

보고서에 따르면 이번 해킹으로 636만 8,509명의 아동과 485만 4,209 명의 부모 사용자들의 개인 정보가 유출됐으며, 지역별로는 미주 지역에서 300만 여명의 아동이, 유럽 지역에서 100만 여 명의 아동이 피해를 입은 것으로 확인됐다.

본 칼럼은 이러한 해킹 공격에 관한 낙관적인 견해와 비관적인 견해를 종합적으로 다루는 방식으로 전개될 것이다. 우리의 아이들에게 닥친 새로운 위협에 관해, 그리고 그간 어디에서도 들어보지 못했을 우리 아이들을 위한 유익한 조언들에 귀 기울여보자.

최상의 시나리오
브이테크의 사례처럼 어떤 윤리적 해커가 취약한 보안을 지적하기 위해 저지르는 해킹은 그나마 가장 좋은 시나리오라고 볼 수 있다. 기업의 입장에선 망신스러운 일로 여겨질 수도 있지만, 그럼에도 자신들의 보안 활동을 제대로 점검하고, 고객 데이터를 보호할 방법을 검토하고 개편할 기회를 제공해주기 때문이다.

실제로 브이테크 역시 이미 파이어아이(FireEye) 소속의 맨디언트(Mandiant) 보안 수사 그룹과 함께 자사 인프라 보안 전반을 검토하는 작업을 시작했다. 즉 이번 사건으로 브이테크 사용자들에게 실제적인 피해가 가해지지는 않은 것이다.

이것이 최상의 시나리오라면, 최악의 시나리오는 무엇일까?

최악의 시나리오
해커들이 밝힌 브이테크의 보안 체계는 처참한 수준이었고, 때문에 선의의 해커들이 먼저 나서지 않았다면 언젠간 고객 데이터들이 유출되어 악용될 가능성이 분명히 있었다.

이번 해킹을 저지른 익명의 해커는 마더보드를 통해 “브이테크의 상황을 볼 때, 굳이 나뿐만 아니라 마음만 먹는다면 누구라도 이들 기업의 데이터를 빼낼 수 있었을 것이다.”라고 지적했다.

그리고 실제로 악의적인 해커에 의해 데이터가 유출됐다면, 그것이 암시장을 통해 거래되고, 데이터를 입수한 어떤 소아성애자가 아이들의 사진을 보며 범죄를 계획하는 등 역시 충분히 상상 가능한 상황이다. 이메일 계정 뿐 아니라 사진, 주소, 부모와의 채팅 기록과 같이 아이들의 사생활을 추적할 수 있는 데이터들 역시 무방비로 유출됐다는 점에서 이번 사건이 잠재하고 있던 위험성은 특히 크다고 할 수 있을 것이다.

브이테크는 자신들의 서투른 정책과 보안 인프라가 끔찍한 아동 범죄를 야기하는 최악의 상황으로까지는 이어지지 않았다는 사실에 감사해야 할 것이다.

누구도 안심할 수 없다
브이테크 사태는 시장에 경각심을 불러일으키는 역할을 했다. 실제로 몇 해 전부터 많은 제조사들이 온라인 네트워크를 활용하는 아동용 장난감을 선보이고 있다. 아이들이 장난감을 가지고 어른들의 모습을 흉내 낸다는 점에서 이런 연결형 장난감들의 역할은 전통적인 장난감과 동일하지만, 그 구체적인 활동에 있어서는 약간의 차이가 존재한다. 오늘날의 아이들은 오븐에서 빵을 굽거나 트럭을 모는 부모님의 모습이 아닌, 랩탑이나 스마트폰을 사용하는 부모님의 모습을 모방한다는 점이다.

굳이 이런 경우가 아닌, 전통적인 형태의 놀이 경험을 제공하는 장난감들 역시 인터넷 연결을 통해 기능성을 확장하는 경향을 나타내고 있다.

이런 경향의 대표적인 사례로는 마텔(Mattel)사가 연말 시즌을 겨냥해 출시한 헬로 바비(Hello Barbie) 모델을 이야기해 볼 수 있다.

헬로 바비는 원거리에있는 데이터 센터의 인공지능 프로그램과 어린이가 대화를 할 수 있도록 한다.

헬로 바비는 언어 처리 인공 지능 소프트웨어 공급자 토이토크(ToyTalk)와의 협업을 통해 전통적인 바비 인형에 대화 기능을 추가한 모델로, 와이파이에 연결돼 동작하며 그 방식은 애플의 시리와 유사하다. 아이가 (인형에 부착된 버튼을 누른 뒤) 인형에게 무언가를 질문하면 프로그램은 이를 녹음, 압축해 토이토크의 외부 서버로 전송하고, 소프트웨어는 해당 질문을 분석해 적절한 답변을 구성한 뒤 이를 다시 인형에게 전송한다.



X