사이버 범죄자들의 새로운 먹잇감, '스마트 TV'

항상 전원이 켜져있는 데다, 보안망도 허술한 스마트 TV가 사이버 범죄의 좋은 표적이 되고 있다.

오늘날 사이버 범죄자들에게 스마트 TV는 아주 매력적인 진입 창구다. 스마트폰이나 데스크톱 컴퓨터에 한참 못 미치는 기기의 보안 수준이 주된 이유다.

현존하는 스마트 TV 가운데 많은 수는 안드로이드 등 모바일 운영체제를 기반으로 하고 있는데, 아직 제조업체 대다수는 사용자들의 편의성에만 집중한 나머지 보안 문제는 신경쓰지 않고 있으며, 실제로 그들의 시스템은 많은 부분에서 취약점을 드러내고 있었다. 이런 보안과 편의성 사이의 거래는 심각한 결과를 야기할 수 있는 문제다.

더 큰 문제는 스마트 TV들이 단순한 소비자 기기의 차원을 넘어, 기업의 회의실 등에도 도입되고 있다는 점이다. 리서치 앤 마케터즈(Research and Marketers)의 연구에 따르면, 시장의 스마트 TV 판매량은 2019년까지 20% 이상의 높은 성장세를 기록할 것으로 예상되고 있다.

아직까지 스마트 TV를 표적으로 한 사이버 공격이 그리 활발히 전개되고 있는 상황은 아니지만, 보안 전문가들은 범죄자들이 스마트 TV의 취약점에 관심을 가지는 것은 시간 문제라고 지적했다.

톨라가 리서치(Tolaga Research)의 최고 연구 책임자 필 마샬은 "많은 스마트 TV 솔루션 제조사들은 IT 업계의 기존 모범 사례를 그대로 채택하는 간단한 노력도 하지 않고 있다. 현재의 스마트 TV 시장은 제품을 시장에 빨리 출시하는 것에만 집중한 나머지 생태계 자체가 파편화된 상태라 볼 수 있다"고 설명했다.

스마트 TV는 운영체제와 USB 포트, 네트워킹 기능을 갖춘 엄연한 컴퓨터지만, 여타 컴퓨터나 모바일 기기들과 달리, 아직 시장엔 스마트 TV를 규제하는 어떤 인증도 존재하지 않는다는 것이 현재의 상황이다.

트립와이어(Tripwire)의 컴퓨터 보안 연구원 크레이그 영은 "스마트 TV들은 기본적으로 현재의 공간에 있는 이라면 누구던 TV의 주인으로 인식한다"고 설명했다. 영은 그간 자신이 진행해 온 스마트 TV 보안 문제에 관한 연구를 소개하며 시중의 일부 모델들은 네트워크를 통해 명령을 내리는 주체가 실제 TV를 물리적으로 조작하는 사용자와 동일 인물인지의 여부도 확인하지 않는다고 지적했다.

즉 공격자들이 원격으로 회의실 스크린을 염탐하거나 그 이상의 위험한 정보를 빼낼 수도 있는 것이다. 영은 "사용자들은 회의실에서 스마트 TV를 이용해 프레젠테이션을 진행하다 예기치 못한 난처한 상황과 마주할 수 있음을 기억해야 할 것"이라고 말했다.

삼성, LG, 소니 등 주요 제조업체들은 스마트 TV용 앱 스토어를 운영하고 있지만, 사용자들은 이외의 서드파티 앱 스토어를 통해서도 앱을 다운로드 할 수 있다. 이는 악성 앱이 시스템에 유입될 수 있는 주요한 경로이며, 스마트폰 환경에서도 이미 유사한 공격 사례들이 보고된 바 있는 방식이다.

시만텍(Symantec)의 위협 연구원 캔디드 웨스트는 실제로 자신의 신형 안드로이드 기반의 스마트 TV를 악성코드에 감염시키는 실험을 진행했다. 웨스트가 주입한 악성코드는 기기에 저장된 파일을 잠그고 비트코인으로 대가를 요구하는 랜섬웨어였다.

웨스트는 실험 과정에 약간의 조작을 더했다. 그는 라우터의 도메인 네임 시스템(Domain Name System, DNS) 설정을 조정해 가상의 중간자(man-in-the-middle) 공격 상황을 연출했고 자신의 TV가 검증되지 않은 소스로부터 악성 앱을 다운로드하도록 명령했다. 웨스트는 이런 공략법은 공격자들이 충분히 시행할 수 있는 것이라고 설명했다.

스마트 TV의 또 다른 문제로 웨스트는 소프트웨어 업데이트와 관련한 지적도 덧붙였다. 일부 스마트 TV 모델들이 업데이트 다운로드 과정에 SSL/TLS(Secure Sockets Layer/Transport Layer Security)로 알려진 암호화 기술을 적용하지 않는다는 것이다.

이런 암호화의 부재는 TV에 악성 펌웨어가 주입될 여지를 주는 부분이다. 로우-레벨 코드(low-level code)의 악성 펌웨어는 공격자들이 컴퓨터의 구동 과정에서 기기와 운영체제에 접근할 수 있는 통로가 된다. 웨스트에 따르면 일부 스마트 TV 모델의 경우에는 다운로드한 펌웨어의 완전성을 검사하는 과정마저 부재했다.

웨스트는 전화 인터뷰에서 "스마트 TV 시장에서 보안 문제는 제품 개발 마지막에 가서야 잠깐 다뤄지고 마는 정도로 보인다"고 지적했다.

스마트 TV의 보안 문제가 더욱 우려되는 또 다른 이유는 그것의 거래 도구로써의 역할이 점차 확대되고 있다는 점이다. TV를 통해 상품을 구매하고 신용카드 정보를 입력하는 경향은 지속적으로 늘어나고 있는 추세다.

시애틀 기반의 모바일 기기 보안 전문업체 0xID의 공동 설립자인 스캇 우는 "당장 나의 아내만 봐도 지난 블랙 프라이데이 기간에 TV로 몇 건이나 온라인 결제를 했다. 스마트 TV와 금융 정보 사이의 연결고리는 일반적으로 생각하는 것보다 단단하다"고 이야기했다.

스마트 TV에는 백신 소프트웨어 역시 구동되지 않는다. 이쯤 되면 스마트 TV에 사이버 공격을 막을 실질적인 수단이 하나라도 있는 지가 의문이다.

영은 "물론 스마트 TV에서도 백신 소프트웨어를 동작할 수는 있다. 하지만 이 경우 그만큼의 성능 손실이 발생한다. 보안 소프트웨어를 구동하기 위해 뚝뚝 끊기는 영화를 참고 감상할 사용자가 과연 있을지 의문이다"고 말했다.

우는 "적어도 안드로이드 생태계의 경우에는 특정 앱들에 대해 사용자의 명확한 승인 없이는 동작을 제한하는 구동 모델이 시행되고 있다. 사실 이 정도 조치만으로도 스마트 TV에 악성 앱이 활개치는 것을 상당 부분 예방할 수 있다. 하지만 문제는 사용자들이 문제의 심각성에 대한 인식 없이 경고창이 뜨더라도 그냥 넘겨버리고 무심히 TV를 본다는데 있다"고 지적했다.

영은 스마트 TV를 둘러싼 최근의 논의가 실제로는 단순히 스마트 TV에 국한되는 것이 아닌, 우리 생활 곳곳에 들어오고 있는 모든 네트워크 연결, 일명 사물인터넷(IoT) 기기들과 관련한 문제라고 설명하며 무분별한 IoT의 남용에 대해 우려를 표했다.

일부 기업들은 전면적인 백신 소프트웨어를 구동하는 대신 네트워크 상의 변칙적 움직임을 포착하는 방식으로 성능과 보안 사이의 균형을 맞춘 신제품들을 출시하고 있다. F-시큐어(F-Secure)의 센스(Sense)나 도조-랩스(Dojo-Labs)의 제품은 다수의 기기로 흘러가는 홈 네트워크 트래픽을 문제 신호로 판단해 감시한다.

영은 "분명한 사실은 산업 내부에서도 이 문제에 대한 인식이 높아지고 있다는 점이다"고 말했다. editor@itworld.co.kr