테러리스트가 폭발물을 장착한 헬리콥터나 드론을 제어한다고 상상해보자. 혹은 누군가가 당뇨병 환자에게 인슐린을 공급하는 펌프를 조작해 사람을 살해할 수도 있다. 아니면 건물의 온도 조절 제어 시스템에 액세스하여 온도를 최고점으로 올려서 화재를 일으킬 수도 있다.
컨프라스트 시큐리티(Contrast Security)의 CTO 제프 윌리엄은 이처럼 영화에서 볼 법한 시나리오가 현실에서도 일어날 수 있다며, “사물인터넷은 누군가를 죽일 수 있는 무기가 될 가능성이 높다”고 말했다.
윌리엄은 사물인터넷이 사람을 살해하는데 어떻게 이용될 것인지, 혹은 어떤 기기가 악의적인 용도로 설계될 것인지는 확실히 알 수 없지만, 커넥티드 기기가 살인 도구로 이용될 가능성에 대해 언급했다.
RSA의 보안 아키텍트 총괄 라미시 놀즈 또한 윌리엄과 비슷한 의견으로, "범죄자들이 의료 기기를 해킹해 피해자를 협박하는 새로운 방식의 수법이 늘어날 수 있다"며, “언제 첫 번째 살인이 일어나느냐의 문제일 뿐, 이와 시나리오는 이미 예고된 것”이라고 덧붙였다.
물론, 일부는 다소 과장된 표현과 상상이라고 치부할 수는 있겠으나, 많은 보안 커뮤니티에서는 예상보다 빨리 인터넷과 관련된 잠재적인 위험들이 현실화될 수 있다는 우려를 표했다. 많은 기업이 웹 플랫폼을 경쟁적으로 개발함에 따라, 보안 전문가들은 가능한 모든 방법으로 개인정보 및 재무 데이터가 유출될 것이라고 예상한 바 있다. 여기에 대해서는 오늘날 누구도 반론의 여지가 없다.
윌리엄은 “’사물을 연결하는’ 새로운 열풍은 보안 측면에서 매우 조잡한 방식의 엔지니어링을 조장하고 있다”며, “이는 사물인터넷을 매우 취약하게 만들었다. 마치 10년 전 웹 애플리케이션의 방식과도 유사하다”고 말했다.
미국의 SANS 연구소(The Sans Institute)의 신흥 보안 트렌드 연구 책임자인 존 페스카토레는 “산업 간의 협력을 통해 외부 침입으로부터 사물인터넷 보안 문제를 해결하려는 시도들도 일어나고 있다”고 말했다.
이러한 노력의 일환으로, IBM, HP, GE, 마이크로소프트, 도요타를 비롯한 많은 기업이 2014년 3월 산업 인터넷 컨소시엄(the Industrial Internet Consortium, IIC)을 설립했다. 의료 기기 및 자동차 등 거의 같은 일을 하는 서로 다른 산업군이 참여했다.
그러나 페스카토레는 "기업 고객들은 이러한 모든 기술을 다양한 운영체제에 통합해야 하며, 하나의 시스템에서 함께 작동되도록 만들어야 한다"며, "이 때문에 PC 상에서 보안 표준을 적용하는 것은 어려운 일"이라고 말했다.
한편, 사물인터넷 기기의 보안을 위한 새로운 방법들이 고안되고 있다. 예를 들어, 특정 건물의 시스템을 제어해서 누군가 화재를 일으키려고 한다면, 관리 서비스 제공자와 마찬가지 방식으로 전력을 전기 유틸리티를 통해 전달하거나, 전력 사용에 이상이 감지되면 준 방화벽 시스템이 가동될 수 있도록 만들 수 있다.
현재로써는 사물인터넷을 악용한 살인 사건을 예측하는 것은 추측에 지나지 않지만, 이와 같은 잠재적인 위험성은 점차 증가하고 있다.
올해 초 CIA의 존 브레넌은 “사물인터넷이라고 불리는 시대가 가까워지고 있다. 점차 보호해야 할 기기와 시스템이 많아질 것이며, 이와 비례한 수준으로 걱정거리와 공격 시도 횟수가 늘어날 것으로 보인다”고 발표한 바 있다. editor@itworld.co.kr