IoT의 보안 대응을 둘러싼 혼란, 국가 주도로 해결이 가능할까?

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1783호(2017. 2. 15 발행)에 기고한 원고입니다. 

▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

IoT 보안대응 국가 주도로 해결이 가능할까.pdf

[ 요 약 ]

민간 기업들은 대체로 국가의 규제가 문제라는 입장이지만, 점차 커지고 있는 IoT(사물인터넷)의 보안 위협에 대한 대응책 논의에 한해서는 시장의 실패를 언급하며 국가의 규제가 오히려 해결책이라 주장하기도 함. 통신 프라이버시 침해를 시도할 가능성이 있는 국가가 IoT 보안 규제에 관여하는 것이 옳은지, 만약 관여한다면 어떤 방식이 되어야 할 것인지에 대해서는 많은 논란이 있지만, IoT 보안 위험에 대한 대응방안 마련이 시급하다는 데는 전문가들의 의견이 일치하고 있음 [ 본 문 ]

◈ IoT(사물인터넷)가 현대 사회, 그리고 미래 사회에 가져올 혜택은 명백하지만, IoT 자체의 보안 취약성과 약점에 의해 사회 안전이 붕괴될 수 있다는 우려의 목소리도 높음

• 자동차가 자율 운전으로 주행하고, 집에서 수백 킬로 미터 떨어진 곳에서 현관의 키를 열고 닫거나 실내 온도를 조절한다는 이야기는 불과 몇 년 전만 해도 꿈 같은 이야기였으나, IoT로 실현되는 마법과 같은 이야기들이 최근 뉴스나 광고에 넘쳐나고 있음

• 그러나 네트워크에 물려 있는 수십억 대의 IoT 디바이스들이 보안 측면에서 불충분하다면, 사용자들을 위험에 노출시킬 뿐만 아니라 인터넷 인프라를 포함한 모든 공공 인프라와 민간 인프라에까지 위험을 미칠 수 있다는 우려는 지속적으로 제기되고 있음

• 이런 IoT 보안 위험이 실제적임을 보여주는 대표적 사례는 미국의 DNS 서비스 사업자인 ‘딘(Dyn)’이 2016년 10월에 받은 ‘분산 서비스 거부(디도스, DDoS)’ 공격임

• 이 공격으로 인한 피해는 일부 대형 사이트를 몇 시간 동안 사용할 수 없었던 불편뿐이었지만, 웹캠과 디지털 비디오 레코더 등 수백 만 대가 넘는 디바이스들로 구성된 봇넷이 실제 디도스 공격에 사용되었다는 것이 밝혀져 충격을 주었음

• IoT 디바이스들이 좀비의 예비군이 될 수 있다는 우려가 현실로 드러나게 된 것이며, 이러한 좀비 디바이스를 이용한 공격이 병원이나 국가의 중요 인프라를 표적으로 벌어진다면, 인명과 안전을 위협할 수 있음을 보여준 것임

◈ 이처럼 IoT의 보안 취약성에 따른 위협이 실재적임에도 시장 스스로 이 문제를 해결하려는 의지가 없기 때문에, 국가가 보다 적극적으로 규제에 개입해야 한다는 목소리가 나오고 있음

• 자신의 디바이스가 좀비가 되어 공격에 이용되더라도, 개인 사용자 입장에서는 가정 내의 기기가 징병 되었다는 사실을 전혀 알 수 없으므로 체감할 수 있는 피해는 별로 없음

• 제조업체에게 발생하는 피해도 없기 때문에 IoT의 취약성에 따른 보안 위험은 시장의 힘(경쟁과 소비자의 압력)에 의해 수정되고 있지 않음

• 이 때문에 국가가 보다 적극적으로 규제에 나서야 할 필요가 있다는 의견이 개진되고 있는데, 2016년 11월 16일 개최된 미 하원 에너지 상업위원회의 청문회에 출석한 업계 전문가들은 이런 취지의 진술을 하였음

<자료> YouTube [그림 1] 하원 청문회에 참석한 브루스 슈나이어

• IBM에 인수된 보안 기업 리질리언트 시스템(Resilient Systems)의 최고기술책임자 브루스 슈나이어는 IoT 보안과 관련해 근본적으로 ‘시장의 실패’가 벌어지고 있으며, 기본적으로 시장은 보안보다 기능과 비용을 우선시 해왔다고 증언

• 이어 슈나이어는 보안이 부재한 상태는 ‘눈에 보이지 않는 공해의 일종’이라며, 공해와 마찬가지로 유일한 해결책은 ‘정부의 규제’라는 의견을 개진

◈ 정부의 규제를 강조한 슈나이어의 의견에 대해 업계가 모두 동의하는 것은 아니지만, 시장 자체의 노력 만으로 문제를 해결하는데 실패하고 있다는 사실은 대체적으로 인정

• 보안업체 노우비포(KnowBe4)의 CEO 스튜 스주베르만은 슈나이어의 의견에 전적으로 동의하며, 연방방통신위원회(FCC)가 IoT 기기에 요구되는 보안 표준의 최소 요구사항을 테스트하는 기관이 되어야 한다고 주장

• 예를 들어 ‘디폴트 암호를 최종 사용자가 변경하지 않으면 장치가 작동하지 않게 한다’는 등의 요구사항을 FCC가 규제화하고 검사해야 한다는 것임

• 보안업체 그린웨이브 시스템(Greenwave Systems)의 수석 엔지니어 마크 보어는 국가가 규제를 통해 문제를 해결할 수 있다는 확신은 없다면서도, 시장이 실패하고 있는 이유에 대해서는 상당 부분 동의하고 있음

• 마크 보어는 낮은 가격에 디자인이 그럴싸한 네트워크 제품들로 인해 발생하는 비용은 대개는 해당 제품의 사용자가 아닌 다른 사람들이 부담하고 있다고 지적

• 경제학자들은 이를 ‘부(負, -) 의 외부 효과’라고 부르는데 즉, 비용이 시장의 내부가 아닌 외부에 존재하므로 시장을 기반으로 하는 해결책은 작동할 수 없다는 것

• 미시건 대학의 케빈 푸 교수 역시 IoT의 위험을 수년 전부터 지적해 오고 있는데, 기기의 제조업체나 소비자 모두 보안 보다는 성능과 가격에만 더욱 더 높은 관심을 보이고 있다는 데 큰 위협이 도사리고 있다고 설명

• 아울러 은행 계좌에 대한 불법 접근이나 명의 도용보다 훨씬 큰 피해가 IoT에서 발생할 수 있음이 입증되었으므로, 자동차, 무인항공기, 의료기기, 가정용 온도계가 인터넷에 연결된 지금, 이전에는 무해였던 것이 지금은 매우 위험해졌음을 인지해야 한다고 경고

◈ IoT의 보안 대책 마련과 관련해 국가의 관여가 구체적으로 어떤 형태여야 한다는 것은 아직 명확하지 않지만, 일단 디바이스 보안 요건을 의무화 하자는 주장이 제기되고 있음

• 국가가 담당해야 할 역할에 대해 슈나이어나 푸 만큼 강하게 주장하지 않지만, ‘국가가 적절한 지침을 제시하는 역할을 할 수 있다’ 정도로 말을 아끼는 전문가들은 적지 않음

• ‘기초 보안 수칙’이라 부를 수 있는 어떤 것을 국가가 의무화 할 수 있으며, 또한 그리해야만 한다는 공감대는 형성되어 가고 있는데, 이런 기본 규칙을 통해 비록 디바이스가 완전히 방어되는 것은 아니지만 공격을 지금보다 훨씬 더 어렵게 만들 수 있다는 것

• 액센추어 시큐리티(Accenture Security)의 전무 이사 매트 디보스트는 눈에 뻔히 보이는 IoT 디바이스의 보안 위험에 대처하도록 시장에 의무를 부과하는 지점에서 국가가 중요한 역할을 할 수 있다는 견해를 밝히고 있음

• 그는 새로운 장치에 필수적인 최소한의 보안 요구사항을 설정하고 사용자가 강력한 암호를 설정하지 않으면 기기를 사용하지 못하도록 의무화한다면, 디폴트 패스워드 입력만으로 공략 당하고 있는 현재의 상황을 개선시킬 수 있다고 주장함

• 아울러, 제품에서 중요한 취약점이 발견된 경우 펌웨어를 자동으로 업데이트 하도록 하는 기능도 의무화가 필요하다고 지적

• 슈나이어 역시 국가가 IoT 업체에 최소한의 보안 기준을 의무화하고 위반한 업체에 책임을 지게 하자고 제안하는데, 이런 규제가 있다면 Dyn 같이 공격을 받은 기업이 DDoS 공격에 사용된 디바이스의 제조업체에 소를 제기할 수 있게 된다는 것

• 보안업체 OTA의 전무 이사 크레이그 스피츨은, ‘알려진 치명적 취약점을 보유한 제품의 출하를 금지하는 것’과 ‘제품의 사용가능 기간 전반에 걸쳐 보안 패치나 업데이트의 제공을 보장하는 것’을 국가가 의무화 해야 할 디바이스 요건으로 제안하고 있음

◈ 하드웨어 제조업체에 대한 규제 마련과 더불어 IoT 기기에 네트워크 접속 서비스를 제공하는 사업자를 대상으로 한 규제의 필요성을 주장하는 의견도 있음

• 민주당 상원의원 마크 워너는 2016년 10월 연방통신위원회(FCC), 연방거래위원회(FTC), 국토안보부(DHS)에 보낸 서한에서, IoT 디바이스의 보안 강화를 의무화하는 데 있어 ‘인터넷 서비스 공급자(ISP)가 역할을 할 수 없는 것인가’라는 질문을 던진 바 있음

• 예를 들어, 안전하지 않은 디바이스라면 ISP가 기기에 대한 IP 주소 할당을 거부하는 등의 방식으로 IoT 기기가 인터넷에 접속할 수 없게 하자는 것임

• 이에 대해 당시 FCC 위원장 톰 휠러는 2016년 12월의 회신에서, 현실적으로 고려해 볼 때, 한 개 ISP가 대책을 강구하더라도 상황은 별로 달라지지 않을 것이라는 견해를 표명

• 하나의 ISP가 사이버 위협에 대한 방어책을 강구하더라도 다른 ISP들이 같은 대책을 강구하지 않으면 그 효력이 약화 될 가능성이 있으며, 따라서 모든 ISP가 이러한 방어책을 강구해야 하지만, 이를 의무화하기에는 동기가 약하다고 답변

◈ 한편 IoT 보안과 관련해 시장의 실패는 인정하지만, 과거 사례에 비추어, 인터넷 보안과 관련한 어떤 요소라도 국가가 규제에 관여하는 것에 강한 경계심을 나타내는 전문가들도 있음

<자료> Cristy Li [그림 2] 미 정부의 휴대전화 감청 풍자 카툰

• 이들은 국가가 디바이스나 네트워크에 소위 ‘백도어(back door, 개구멍)’를 마련해 자신들이 원할 때 접근하고 싶어한다는 것이 지금까지의 사례를 통해 입증되었음을 지적

• 슈나이어 역시 하원위원회 진술 시, IoT의 보안을 강화하기 위해 국가의 규제가 필요하다고 주장하면서도, ‘정부가 컴퓨팅 장치의 보안을 연방수사국(FBI)의 요구에 따라 의도적으로 약화시키려는 충동에 굴복하지 않는 것이 필수적’이라고 못

박은 바 있음

• 보어 역시 사이버 보안에 정부의 개입이 필요하다는 견해를 강하게 표명하고 있지만, 그와 동일한 정도의 강경 어조로 ‘그러나 미국 정부는 무리’라고 말하고 있는데, 그 이유는 정부 스스로 인프라 보안이 제대로 보호되지 않은 사례가 반복해서 드러나고 있기 때문

• 보어는 안전하지 않은 사적 메일 서버를 각료 수준의 공무원들이 사용하는 사례를 몇 가지 거론했는데, 그 중 작년 미국 대통령 선거 과정에서 불거진 민주당 후보 힐러리 클린턴 전 국무장관의 사례는 일반인에게도 널리 알려진 사건임

• 더욱이 간과할 수 없는 문제는 지금 이 순간까지도 디바이스 보안을 약화시켜 정보수집 능력을 높이려 하는 것이 미국 정부의 방침이라는 점이라고 주장하고 있음

• 한 마디로 디바이스 및 그 이용자의 보안 침해를 목표로 하고 있는 미국 정부는 IoT의 사이버 보안을 강화하기 위한 구조를 제창할 자격이 없다는 것

◈ 지금으로서는 정부에 의해 법적 효력을 갖고 처벌을 강제하는 구체적 법규가 제정되기까지 상당한 시간일 걸릴 것으로 보이나, 관련된 움직임이 전혀 없는 것은 아님

• 미 연방거래위원회(FTC)는 2017년 1월 IoT 보안 콘테스트인 ‘IoT 홈 인스펙터 챌린지(Home Inspector Challenge)’를 개최한다고 발표하였음

• 웹사이트의 설명에 따르면, 이는 가정 내의 IoT 디바이스에 탑재되는 소프트웨어의 보안 취약점으로부터 보호하기 위한 목적으로 소비자가 사용할 수 있는 기술 도구를 만들기 위해 개최하는 공개 콘테스트임

• 정부기관의 문서 중에도 인터넷 보안을 다룬 것도 일부 있는데, 가령 미 국토안보부는 2016년 11월 IoT의 보안 원칙에 관한 문서인 ‘IoT를 보호하기 위한 전략적 원리(Strategic Principles for Securing the Internet of Things)’를 발표하였음

• 그러나 이 문서에서 정한 것은 ‘구속력 없는 원칙이며 권장되는 모범사례’라고 명시되어 있으며, 따라서 법적 효력이 없으므로 따르지 않더라도 벌칙은 부과되지 않음

• 이에 대해 비록 실효성은 없지만 정부가 추천하는 모범사례가 있다는 점에 주목할 필요가 있다는 의견과, 국토안보부의 문서를 보면 연방 정부기관들 사이에 경쟁이 있는 것처럼 보이며 현 시점에서 이 제안은 기술적이라기보다는 정치적이라는 의견이 나뉘고 있음

◈ IoT의 위험을 크게 보는 전문가들은 국가의 개입에 따른 또 다른 위협을 인지하는 것은 물론 중요하지만, 지금은 ‘행동’이 필요한 때이며 민간 영역에서의 행동 역시 필요하다고 주장

• OTA의 스피츨은 국가의 규제 마련과 강행에 따른 위험 역시 매우 크다는 것을 인정하지만, 지금은 IoT 보안 위험에 대한 대응 행동의 시작이 중요함을 지적하며, 시장의 실패라고만 하지 말고 민간 영역에서도 움직임이 필요하다고 주장

• 그에 따르면, OTA는 코스트코, 아마존, 베스트바이, 타깃 등 대형 소매유통 업체들을 대상으로 핵심적인 기본 보안 및 개인정보보호 원칙을 준수하지 않은 제품의 판매를 중지하도록 요청하는 공개 서한을 발송하였음

• 소매업체들은 아이가 다칠 수 있는 상품이나 아동 노동 착취로 만들어진 상품은 판매하지 않는다는 점을 내세우면서, 왜 이미 알려진 보안 취약점이 있는 상품은 거리낌없이 판매하면서 돈을 벌려고 하느냐는 것이 OTA의 질문임

• OTA는 보험회사들에 대해서도 제조업체의 제조물 책임에 대해 같은 맥락에서 압력을 가해 줄 것을 요청하고 있음

• OTA는 올해 1월 ‘IoT 신뢰 프레임워크(Trust Framework)’의 공개 버전 2.0(iot_trust_framework_2-8_no_fn.pdf )을 발표했는데, 이것의 목적은 ‘개발자들이 개발에 사용하는 툴, 소매업체들이 자신들이 판매하는 상품, 기업들이 자신들이 조달한 상품을 감사하고 평가하기 위한 도구를 제공하는 것’임

◈ IoT 보안에 있어 국가나 시장의 개입에 관한 논의는 지난하고 논쟁적 과정일 수 있으나, IoT의 보안에 관한 진지한 사회적 관심을 모을 수 있다는 점 만으로도 사회적 효용이 있음

• 국가 규제의 의무화가 시장에 미치는 영향은 중첩적이기 때문에 항상 논쟁적일 수밖에 없으며, 기간 인프라인 통신의 경우는 보다 다양한 이슈가 파생되므로 생산적 논쟁을 통해 합의에 이르기가 쉽지 않을 수 있음

• 게다가 국가에 의한 통신 감청과 프라이버시 침해 위협은 가능성의 영역이 아니라 현실적으로 벌어지고 있음이 계속 폭로되고 있으며, 미국의 경우 트럼프 행정부 사대에 이런 위험이 더욱 높아질 것이란 우려도 나오고 있음

• 그러나 IoT 보안 대응책 마련 논의에서 핵심적인 것은 방안 마련에 국가가 주도적으로 참여해야 하느냐의 여부가 아니라, IoT 보안 침해 위험의 중대성을 공감하고 대응책 마련이 필요하다는 사회적 합의에 우선 다다르는 것임

• 시장이 실패했으니 국가가 개입한다는 단순 논리에서 벗어나, IoT 보안 대응 방안을 협의하는 과정에서 명확한 조건 하에 국가와 민간 영역의 역할을 정의하는 것이 필요

• 이미 도입되어 사용되고 있는 불완전한 IoT 장치들이 수백 만대에 이를 것으로 추정되지만, 한가지 위안으로 삼을 수 있는 것은 이 숫자는 2020년경, 2030년경에 예상되는 IoT 기기의 수에 비하면 극히 소량에 불과할 것이라는 점

<자료> SPB Global [그림 3] 2027년 10조 개의 센서 연결

• IoT의 보안 위험은 이미 현실로 드러나고 있으며, 이에 대한 대응 방안 마련이 늦어질수록 IoT가 가져올 것으로 기대되는 혜택만큼 IoT의 취약점으로 인해 야기되는 사회적 피해도 막대할 수 있다는 점을 균형감 있게 인식하고 필요한 행동에 시급히 나설 필요가 있음