‘초연결’ 기술 발전하면서 보안 위협 우려도 커져
구글, IoT 취약점 발생한 샤오미 제품 플랫폼에서 차단
미군, 개인정보 유출 의혹 있는 ‘틱톡’ 금지
KISA “공격자, IoT 기기로 공격대상 넓혀갈 것”
김석환 KISA 원장 “기본 보안 관리 더욱 철저히 해야”

사진=게티이미지뱅크

‘초연결(hyperconnectivity)’과 ‘초지능(hyperintelligence)’으로 대표되는 4차 산업혁명 시대가 성큼 다가올수록 보안의 중요도가 덩달아 커지고 있다. 하지만 최근 ICT 산업을 국가 주도로 빠르게 육성 중인 중국 제품들이 보안을 위협한다는 주장이 끊임없이 제기되고 있다. 특히 샤오미 카메라에 문제가 생겨 구글이 샤오미를 차단하기도 했고, 미 행정부의 화웨이 배제 요구나 미군의 틱톡 금지도 있었다.

8일 관련 업계에 따르면 구글이 중국 샤오미의 모든 전자제품을 구글 사물인터넷(IoT) 플랫폼에서 차단했다. 차단은 1일(현지시간) 네덜란드인으로 알려진 이용자 ‘DIO-V’가 미국 온라인 커뮤니티 ‘레딧’에 “구글 홈 허브에서 샤오미 카메라를 실행했더니 다른 사람 집 내부가 보였다”며 인증 동영상과 사진을 올린 것이 원인인 것으로 알려졌다.

문제가 된 샤오미 제품은 ‘샤오미 미지아 1080p 스마트 IP 카메라’였다. IoT 취약점이 드러난 1일은 샤오미가 향후 5년간 IoT에 5억위안(한화 약 8조3000억원)을 투자하겠다고 밝힌 날이었다. 이에 관해 샤오미 측은 외신을 통해 지난달 26일 캐시 업데이트로 인한 이슈로 판명됐다면서 취약점은 해결했지만 근본 원인을 해결할 때까지 서비스를 중단하겠다고 밝혔다.

보안 위협 우려가 생긴 중국 제품들은 다양하다. 일각에서는 구글 같은 기업도 IoT 등을 위해 데이터를 수집하지만 이들은 데이터를 기업에서 관리하는 반면, 중국 기업은 데이터가 국가로 간다는 지적도 나온다. 미·중 무역전쟁의 화두였던 하나인 ‘화웨이 제재’도 보안에 관련된 이슈였다. 그동안 미국은 화웨이와 중국 공산당의 유착관계를 의심하면서 지속해서 안보 우려를 제기해왔다. 화웨이 장비가 중국 정부의 스파이 활동에 사용될 수 있다고 동맹국들에 화웨이 제재 동참을 촉구한 바 있다.

도널드 트럼프 대통령은 지난해 초 화웨이 사용금지 행정명령에 서명했고, 미 상무부는 화웨이와 68개 계열사를 거래금지 리스트에 올리기도 했다. 화웨이가 이동통신망에 ‘백도어’를 심어 기밀정보를 유출한다는 우려였다. 중국 인민해방군 장교 출신인 런정페이 회장이 설립한 화웨이는 중국 정부와 밀접한 관계가 있는 것으로 알려졌다. 미 행정부를 중심으로 ‘화웨이 퇴출’ 움직임이 일자 세계는 화웨이 장비를 사용하는 국가와 아닌 국가로 나뉘게 됐다. 한국, 영국, 프랑스, 독일, 러시아, 브라질, 인도 등은 화웨이 장비를 사용한다. 사용하지 않는 나라는 미국, 이탈리아, 일본, 호주, 뉴질랜드 등이다.

화웨이 5G 장비 사용은 지금도 세계적인 이슈다. 미국이 제기한 안보 위협 논란이 전혀 근거 없는 주장은 아니었기 때문이다. 2018년 12월에는 멍완저우(孟晩舟) 화웨이 부회장이 미국 정부의 제재를 피해 이란과 몰래 거래한 혐의로 캐나다에서 체포됐다가 최근 현지 법원의 보석으로 석방됐다. 지난해 1월에는 폴란드 방첩 기관이 중·북부 유럽 판매 책임자를 스파이 혐의로 체포하기도 했다. 당시 화웨이는 사건이 알려지자마자 “회사와는 무관한 일”이라며 체포된 간부를 해고했다.

지난해 국정감사에서도 화웨이 보안 문제에 관해 국회 과학기술정보방송통신위원회 소속 의원들이 최기영 과학기술정보통신부 장관에게 질의하기도 했다. 박대출 자유한국당 의원은 미 IoT 전문기업 파이나이트 스테이트의 맨디 사도스키의 영상을 통해 “화웨이 보안 문제는 글로벌 문제”라면서 종합적인 대비책을 세워야 한다고 주문했다. 최기영 장관은 “화웨이는 문제가 있다고 확인되지 않았고 대비책 수립은 살펴보겠다”고 원론적으로 답변했다.

백도어 논란에 화웨이는 억울하다는 입장이다. 간부가 스파이 혐의로 체포된 것 외에 막상 백도어가 발견됐거나 화웨이 장비로 기밀이 유출된 사례는 아직 발견되지 않은 것으로 알려졌다. 멍샤오윈 한국화웨이 지사장은 지난해 국정감사 당시 “백도어 설치는 기업에는 자살행위”라며 “한국을 포함해 전 세계 글로벌 정부와 ‘노 백도어’ 협약에 서명할 의향이 있다”고 강조하기도 했다.

샤오미와 화웨이만 문제가 되는 것은 아니었다. 월스트리트저널 등 외신에 따르면 미 육군, 해군, 해병대, 공군, 해경 등은 정부 지급 기기에 중국의 동영상 앱 ‘틱톡’을 설치하는 것을 금지했다. 일부 부대에서는 개인용 기기에도 설치하지 말 것을 권한 것으로 전해졌다. 틱톡 금지 조치는 틱톡으로 사용자의 위치 정보를 수집하고 있는 중국 바이트댄스가 중국 정부에게서 자유롭지 못하다는 것이 이유였다. 우리나라에서도 지난해 국정감사에서 송희경 자유한국당 의원이 틱톡의 개인정보 유출 가능성을 제기하자 방송통신위원회가 지난달 미성년자 개인정보 유출 의혹에 관한 검토에 착수한 바 있다.

 

1일(현지시간) 네덜란드인으로 알려진 이용자 ‘DIO-V’가 미국 온라인 커뮤니티 ‘레딧’에 “구글 홈 허브에서 샤오미 카메라를 실행했더니 다른 사람 집 내부가 보였다”며 올린 인증 사진. 사진=레딧 캡처

의심을 받는 쪽에서 절대 하지 않겠다, 절대 하지 않는다고 한다고 마냥 믿고 안심할 수는 없는 노릇이다. IoT 같은 각종 ICT 기술이 발전하면서 하나에 영향이 가면 나머지에도 피해가 확산하게 됐다. 특히 스마트시티, 스마트팩토리 등 ‘초연결’을 기반으로 하는 새로운 시스템들이 구축되고 있는데, 보안에 구멍이 생기면 시스템 전체가 무너질 수 있다.

SK인포섹의 ‘2020 보안 위협 전망 보고서’에 따르면 2020년에는 보안 설정이 없는 IoT 장비를 노린 공격이 증가할 전망이다. 최근 웹캠, IP 카메라, CCTV 같은 장비 사용량이 늘었는데, 이런 장비의 보안에 허점이 생기면 사생활 침해 및 중요 정보 유출 등의 문제가 발생할 수 있다는 것이다. 이번 샤오미 카메라 논란도 집안의 내부 상황이 엉뚱한 카메라에서 출력되는 사생활 침해 문제였다.

한국인터넷진흥원(KISA)이 지난달 5일 국내 주요 보안업체 6개사와 함께 발표한 ‘2020년도 7대 사이버 공격 전망’에서도 IoT나 융합 서비스 대상 보안 위협 등에 대한 경고가 이어졌다.

한국인터넷진흥원은 2020년 주목해야 할 7대 사이버 공격 유형으로 ▲일상으로 파고든 보안 취약점 ▲공공기관·기업으로 확대되는 랜섬웨어 공격 ▲해킹에 취약한 가상통화(암호화폐) 거래소 ▲문자 이메일 안으로 숨어드는 악성코드 ▲진화하는 지능형 표적 공격 ▲모바일 소프트웨어 공급망 공격 ▲융합 서비스 대상 보안 위협 등을 선정했다.

특히 스마트시티, 스마트팩토리, 의료 등 융합 서비스가 점차 도입되면서 교통 시스템 해킹, 악성코드로 인한 공장 시스템 파괴 및 환자의 처방전 조작 등의 사고가 발생할 수 있다고 경고했다. 아울러 공격자가 지능형 CCTV 및 AI 스피커 등 IoT 기기로 공격대상을 넓히고, 공격기법 역시 더 정교하게 진화할 것으로 전망했다.

김석환 한국인터넷진흥원 원장은 “해킹 공격을 예방하기 위해서는 인터넷 공유기, IP 카메라 등 IoT 기기에 대한 안전한 초기 비밀번호 설정, 최신 보안 업데이트 조치, 취약점 점검 등 기본적인 보안 관리를 더욱 철저히 해야 한다”며 “한국인터넷진흥원은 초연결 시대를 맞아 새로운 유형의 사이버 위협에 능동적으로 대응할 수 있도록 민간 분야와 공동 침해사고 대응 체계를 강화하고 위협정보를 공유하는 허브 역할을 더욱 단단히 하겠다”고 말했다.

파이낸셜투데이 변인호 기자

저작권자 © 파이낸셜투데이 무단전재 및 재배포 금지