IoT / 디지털 디바이스 / 미래기술 / 보안 / 프라이버시

“숨을 곳은 없다” 우리를 위협할 새로운 해킹 시나리오 9가지

Roger A. Grimes | InfoWorld 2017.02.23


IoT 봇은 과거의 이메일 바이러스, 그리고 최근의 랜섬웨어 뒤를 잇는 악성코드 시장의 루키로, 해커들의 주목을 받고 있다. 문제는 급속도로 확산되고 있으며, 각국의 정부 기관들도 이와 관련한 조사를 개시한 상태다. 전문가들은 2017년을 기점으로 IoT 제조와 관련한 새로운 규정, 법률들이 자리잡아갈 것으로 전망하고 있다. 안타깝게도 우리가 IoT 봇넷의 존재를 알아차리기 전 이미 시장에는 수억 대의 IoT 기기들이 자리잡은 상태며, 이들은 취약성을 안고 우리 사회 곳곳에서 공격을 기다리고 있다.

생체 정보 거래
패스워드를 폐기하는 움직임은 빠르게 전개되고 있으며, 그 자리를 이중 인증, 생체 인증이 대체하고 있다. 많은 이들이 생체 신원을 온전히 자신을 증명하는 최고의 도구라고 이야기한다. 누구도 다른 이의 망막을 훔칠 수 없기 때문이다. 하지만 이는 완벽한 착각이다.

대부분의 사용자는 자신의 생체 신원이 디지털 파일의 형태로 저장되고 있다는 점을 간과한다. 때로 우리의 생체 정보는 어떤 변환도 이뤄지지 않은 상태로(지문이나 망막의 자연적인 형태 그대로) 저장되고 있다. 이보다 흔한 경우는 신원 정보를 중간자 형태로 저장하는 것이다. 예를 들어 현재 우리의 지문 정보 대부분은 각 고저점을 선으로 연결한 별자리 형태로 저장되고 있다.

둘 모두 결국에는 우리의 신원 정보를 어딘가에 저장해두고 향후 대조에 이용하는 방식이기에, 저장된 정보가 탈취되면 그 보안 수준은 패스워드와 별반 다를 바 없어진다. 또한 한 곳에서 탈취한 생체 정보를 다른 시스템들에서 이용하는 것도 충분히 가능하다. 오히려 패스워드는 유출이 확인되면 변경이 가능하지만, 생체 정보의 경우에는 그마저도 어렵다. 현재의 과학 기술로 개인의 망막 형태를 바꾸는 것은 불가능하다. 생체 정보가 유출된다는 것은 존재 자체가 유출되는 것과 같다.

이런 문제는 2015년 미 인사국에서 발생한 500만 건 이상의 지문 정보 유출 사고 등 실제 대규모 생체 데이터베이스 유출 사고가 발생하며 표면화되기 시작했다. 그에 앞서 개인적으로는 1990년대 이미 정부로부터 본인의 지문 정보가 유출됐다는 통지를 받은 이를 알고 있다.

공식적으로 세계 최대의 지문 데이터베이스를 보유한 것으로 알려진 FBI 통합 지문 신원 자동화 시스템(IAFIS)은 최소 7,000만 건의 지문 정보를 보유하고 있으며, 세계 수만 곳의 기관, 수십만 대의 컴퓨터가 이 파일에 대한 접근권을 가지고 있다. 그런데 만일 외부의 누군가가 IAFIS의 시스템에 대한 접근권을 확보해 이 정보를 복제하게 된다면?

개인적으로는 생체 정보에 대한 맹신이 IoT가 안전하다는 미신 못지 않게 당혹스럽게 다가온다. 앞으로 이중 인증은 더 보편화될 것이며, 여기에서 생체 인증은 중요한 역할을 수행할 것이다. 그리고 이와 더불어 사용자의 생체 지표가 오늘날의 신용카드 정보처럼, 블랙 마켓에서 공공연하게 거래되는 것도 충분히 예측 가능한 시나리오다.

대부분의 컴퓨터 보안 전문가들이 생체 인증을 단독으로 활용하는 방식에 경고를 보내는 것도 이런 이유에서다. 생체 신원은 중요 정보에 접근하기 위한 유일한 열쇠 역할을 할 수는 없다. 때론 우리의 망막이 우리 머리 속의 PIN보다 더 훔치기 쉬운 대상일 수도 있음을 기억하자.

미아 방지 칩을 악용한 납치
이는 아직은 발생하지 않은 위협이다. 아직 본인의 자녀에게GPS 추적 장치를 삽입한 이는 우리 주변에 없기 때문이다. 하지만 애완동물에 해당 조치를 취하는 사례들이 생겨나는 것을 볼 때, 자녀에게 칩을 삽입하는 것도 일종의 필요악으로서 향후 예상 가능한 현상이다. 실제로 이미 몇몇 ‘스마트’한 부모들은 이것을 진지하게 고민 중인 것으로 알려져 있다.

하지만 자녀에게 부착된 GPS 칩이 때론 부작용을 야기할 수도 있다. 아동의 GPS 정보가 고스란히 범죄자의 손에 넘어갈 수도 있는 것이다. 정부나 칩 제조자들은 기술의 안전성을 확언하지만, 유사한 맥락에서 그간 안전성을 보장받은 의료 기기들이 범한 의료 사고들을 상기해본다면, 그들의 말을 곧이곧대로 믿기란 어려운 일이다.

향후 자녀에게 칩을 부착하는 것이 일반화된다면, 이 기술을 악용하는 범죄자 역시 등장할 것이다. 더불어 오늘날 납치범들이 아동 납치 후 GPS 추적을 피하기 위해 아동의 휴대폰을 던져버리는 것과 마찬가지로, 미래의 영리한 범죄자들은 납치 아동의 피부를 찢고 칩을 꺼낼 것이다. 이런 상황을 단순한 공상으로 치부해선 안될 것이다. 오히려 처음부터 아동에게 칩을 삽입하는 구상을 포기한다면 이런 끔찍한 미래를 막을 수 있을지도 모른다.

우리 사회는 다양한 방식으로 그 연결성을 강화해나가고 있지만, 디지털 기기를 공급하는 업체들은 상품의 보안에는 충분한 노력을 기울이지 못하고 있다. 오늘날 우리가 APT 공격과 랜섬웨어의 홍수를 바라보며 해커들의 해코지가 단순히 컴퓨터에 이상한 글씨를 띄우고 음악을 임의 재생하는 데 머무르던 과거를 그리워하는 것처럼, 미래의 보안 전문가들은 컴퓨터만이 해킹의 유일한 대상이던 현재를 그리워할 것이다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.