자동차에 가두고 협박도 가능…“상용화 시 창궐 우려”

▲ 사진=픽사베이
#1. 2037년 어느날 김모씨는 자신의 자동차 안에 꼼짝없이 갇혀버렸다. 사물인터넷(IoT) 기반의 김씨의 자율주행차가 신종 랜섬웨어에 감염돼 조작불능 상태에 빠진 것. 차량 내부에 설치돼 있는 모니터에는 “3시간 내에 돈을 입금하지 않으면 양화대교 밑으로 차량을 추락 시키겠다”라는 메시지와 함께 비트코인 계좌정보가 나타났다. 목숨의 위협을 느낀 김씨는 거액의 돈을 입금했지만 잠금장치는 해제되지 않았고, 결국 출동한 구조대원들이 차 문을 떼어내고 나서야 탈출할 수 있었다.

 

#2. 2037년 여름 이모양은 퇴근길에 스마트폰을 통해 원격으로 집에 있는 에어컨을 작동했다. 하지만 이양이 쓰고 있던 와이파이망 내에는 심어놓은 랜섬웨어를 통해 해커가 이양의 IoT망에 침투했다. 랜섬웨어에 감염된 즉시 이양의 집 문은 모두 잠겼고 에어컨은 최대로 가동됐다. 곧바로 이양의 스마트폰에는 “랜섬웨어에 감염됐다. 돈을 입금하지 않을 경우 에어컨 동작을 멈추지 않겠다”라는 메시지가 나타났다. 이양은 전기세 폭탄을 맞을 걱정에 정신이 아득해졌고, 해커의 요구대로 돈을 입금했다. IoT 일상화된 상황에서 이양은 랜섬웨어에 따른 피해 우려가 크지만 이러지도 저러지도 못하고 걱정만 커지고 있다.

[파이낸셜투데이=이건엄 기자] 최근 컴퓨터 내에 있는 파일을 인질삼아 돈을 요구하는 ‘랜섬웨어’가 사회적 문제로 떠오르면서 다가올 ‘초연결사회’에 대한 우려가 높아지고 있다. IoT망에서 랜섬웨어가 창궐할 경우 단순한 파일이 아닌 나 자신이 인질이 될 수 있기 때문이다.

특히 랜섬웨어와 IoT 기기가 결합한 사이버 보안 위협이 현실로 다가올 전망이 나오고 있어 상용화 전에 확실한 보안대책을 세워야 한다는 지적이 나온다.

▲ SK텔레콤이 실시간 전력 사용량과 당월 예상 전기료 등의 각종 정보와 누진 단계별 진입 알람 등을 통해 사용자의 누진세 탈출을 도울 IoT기기인 ‘스마트 에너지미터’를 출시했다. 사진은 기사 내용과 무관함. 사진=SK텔레콤

1일 한국인터넷진흥원에 따르면 IoT 취약점 신고 포상 건수가 지난해 187건으로 전년(96건) 대비 94.8% 급증했다. 기기별로는 공유기와 네트워크 카메라에서 가장 많은 신고가 들어왔다. 대부분 취약한 비밀번호 설정을 악용한 관리자 페이지 불법 로그인이나 해커가 원격으로 임의의 명령을 실행시킬 수 있는 허점이 있었다.

랜섬웨어는 몸값(Ransome)과 제품(Ware)의 합성어로 컴퓨터 및 스마트폰 사용자의 파일을 암호화한 후 암호해제를 조건으로 돈을 요구하는 것을 말한다. 백신프로그램으로 이를 삭제해도 이미 암호화된 파일을 해제할 수 없기 때문에 피해복구가 쉽지 않고 돈을 제공해도 암호해제가 안 돼 피해가 크다.

◆상용화는 코앞인데 보안은 글쎄

현재 IoT는 다양한 분야에서 미래 먹거리 사업으로 육성되고 있다. 만약 이런 상황에서 취약점을 보완하지 않고 섣불리 상용화에 나섰다가 IoT를 대상으로 한 랜섬웨어가 나타날 경우 지금까지와는 비교할 수 없는 사회적 혼란이 우려된다. 지금의 랜섬웨어는 컴퓨터에 저장돼 있는 파일만 볼모로 금품을 요구하지만, IoT는 일상생활과 밀접해 있기 때문에 자칫 잘못하면 나 자신이 인질이 되는 경우도 배제할 수 없다.

실제 지난 1월 호주의 한 호텔은 객실 문을 제어하는 시스템이 랜섬웨어에 감염되는 사고를 겪었다. 이 호텔은 랜섬웨어 공격으로 당장 객실 문을 열 수 없게 되자 울며 겨자먹기로 1600달러 상당의 비트코인을 몸값으로 지불했다.

위키리크스 공개 문서에도 CIA가 승용차와 트럭 등의 차량제어 시스템 침투를 시도했다는 내용이 포함돼 있는 것으로 알려졌다. 차량의 위치정보나 주행기록 등을 빼내기 위한 목적으로 풀이된다.

▲ IoT를 기반으로 한 자율주행자동차가 랜섬웨어에 감염될 경우 생명까지 위협받을 수 있다. 사진은 SK텔레콤과 BMW코리아가 함께 제작한 커넥티드카 T5. 사진은 기사 내용과 무관함. 사진=SK텔레콤

이 기술이 악용돼 IoT 기반 자동차가 랜섬웨어에 감염되면 운전자는 자동차 제어권을 돌려받기 위해 금전을 지불해야 한다. 해커가 자동차라는 재화이자 이동 수단을 인질로 잡는 셈이다. 더 악의적인 경우로는 운전자의 생명까지 인질로 잡을 가능성도 있다.

냉장고와 세탁기 등 가전제품이 인터넷에 연결되고, 스마트 기능을 갖추기 시작하면서 보안업계는 IoT 해킹 위협을 꾸준히 경고했다. 최근에는 수많은 IoT 기기를 해킹해 좀비 기기로 만들고, 이를 대규모 분산서비스거부(디도스, DDoS) 공격에 활용한 사례도 등장했다.

◆ 수익성 보이면 바로 공격 가능

상황이 이렇다 보니 랜섬웨어를 만드는 해커들의 새로운 수익 모델이 IoT가 될 수 있다는 우려가 높다. 단순한 PC파일이 아닌 사람을 인질로 잡을 경우 자연스럽게 요구하는 금전 액수도 커질 수밖에 없기 때문이다. 현재 컴퓨터용 랜섬웨어가 요구하는 액수는 통상 1비트코인(140만원) 정도다.

IT업계 관계자는 “해커그룹은 일반적으로 비용 대비 수익률을 중요하게 생각한다”며 “IoT 해킹이 드문 것은 그만큼 IoT가 보편화되지 않았기 때문”이라고 말했다.

이어 “IoT를 해킹할 수 있는 기술은 이미 전부 개발돼 있다”며 “IoT가 본격적으로 상용화돼 해커들이 수익을 낼 수 있다는 판단을 내리는 순간 랜섬웨어의 활동은 더욱 활발해질 것”이라고 지적했다.

한편 한국의 경우 IoT 기반이 되는 통신 인프라는 세계 최고 수준이지만 보안과 관련해서는 아직까지 하위권에 머물고 있다. 보안업계에 따르면 IoT 악성코드로 인한 전 세계 공격 인터넷 프로토콜(IP) 중 한국 비중은 3%로 10위에 올라있는 등 해커의 공격을 많이 받는 국가 중 하나다.

저작권자 © 파이낸셜투데이 무단전재 및 재배포 금지