월패드 40만 세대 해킹
로봇청소기서 욕설 송출
정부 보안 기준 전면 강화
“아무도 없는 집인데 누가 지켜보고 있었다니…” 한 아파트 주민의 경악스러운 고백이 우리 집 안의 충격적인 현실을 드러냈다.
스마트홈 기기들이 해커들의 ‘엿보기 창구’로 악용되면서, 가장 사적인 공간인 집조차 더 이상 안전하지 않게 된 것이다. 정부가 마침내 IoT 보안 대책에 본격 나서는 배경에는 이런 사건들이 줄을 이었기 때문이다.
집 안 곳곳이 해커들의 감시망
2021년 한국 사회를 충격에 빠뜨린 월패드 해킹 사건은 IoT 보안의 심각성을 적나라하게 보여줬다.
한 해커가 전국 638개 아파트 단지, 약 40만 세대의 월패드를 뚫고 들어가 집안 내부를 몰래 촬영했다. 식당과 숙박업체 공유기를 해킹해 우회 경로를 만든 뒤, 아파트 중앙서버를 거쳐 각 가정의 월패드까지 침입한 것이다.
더욱 놀라운 건 해커가 이렇게 훔친 영상들을 해외 사이트에서 돈을 받고 팔려 했다는 사실이다. 가정의 가장 사적인 순간들이 상품처럼 거래되려 했다.
작년에는 로봇청소기에서 갑자기 욕설이 나오는 기괴한 사건도 벌어졌다. 중국 제조사 에코백스의 ‘디봇 X2s’가 해킹당해 집 안에서 갑자기 음성으로 욕설을 쏟아냈다. 청소를 도와주던 기기가 순식간에 불청객으로 변한 것이다.
가정용 IP카메라와 펫캠도 예외가 아니다. 2023년부터 2024년까지 수천 건의 사생활 영상이 해커들에 의해 유출돼 텔레그램 등에서 거래됐다. 아기나 반려동물을 지켜보려던 따뜻한 마음이 오히려 프라이버시 침해의 통로가 된 셈이다.
정부, 마침내 전방위 보안 대책 발표
한국인터넷진흥원(KISA)이 29일 정보통신기술(ICT) 업계에 밝힌 바에 따르면, IoT 제품의 보안 기준을 전 생애주기에 걸쳐 대폭 강화한다고 발표했다. 기존에는 제품 설계 단계에만 집중됐던 보안 인증을 제품 출시부터 사후관리까지 전 과정으로 확대한다는 계획이다.
최윤선 KISA 디지털제품인증팀장은 “제품이 나오는 순간부터 폐기될 때까지 모든 단계에서 보안과 개인정보 처리 흐름을 관리하는 방향으로 정책을 강화할 것”이라고 설명했다.
현재 IoT 최고수준 보안 인증은 데이터 보호, 암호화, 운영체제 및 네트워크 보안 등 7개 분야에서 약 50개의 세부 기준을 만족해야 한다. 지난해 삼성전자의 로봇청소기 ‘비스포크 AI 스팀’이 국내 최초로 이 최고 등급 인증을 받았다.
하지만 중국산 제품에 대한 우려가 커지는 상황에서도 KISA는 “인증이 자발적으로 이뤄지는 만큼 중국 제품에 대한 인증을 강제할 수는 없다”고 한계를 인정했다. 중국 공공기관이나 기업과 IoT 보안 분야에서 협력한 사례도 아직 없다고 밝혔다.
주택 중심에서 전 산업으로 확산
그동안 IoT 보안 인증은 주택 분야에 편중돼 있었다. 2018년 4건에서 시작해 작년 106건으로 꾸준히 늘어난 413개의 누적 인증 중 298개가 주택 분야로, 전체의 72%를 차지했다.
KISA는 이를 가전, 금융, 스마트도시, 의료, 통신 등 정보통신망법에 규정된 8대 분야로 확대할 계획이라고 발표했다. IoT 기기가 의료, 제조·생산 등 핵심 산업 영역으로 빠르게 퍼지면서 보안 강화가 시급해진 상황을 반영한 것이다.
국제 협력도 강화된다. KISA는 2023년 싱가포르와 IoT 보안인증 제도 상호인정을 위한 양해각서를 맺었고, 작년에는 독일 연방정보기술보안청과도 협력 의향서를 체결했다.
최 팀장은 “올해 안에 독일과 IoT 보안 인증제도 상호인정 체결을 목표로 협의 중”이라며 “유럽과 미국의 IoT 보안 규제에 맞서고 글로벌 기준과 조화를 이룰 수 있도록 기준을 개선하고 있다”고 강조했다.
관련 제도 운영 계획은 연내 공개될 예정이다. 스마트홈이 진짜 ‘스마트’해지려면 편리함만큼 보안도 똑똑해져야 한다는 교훈을 뼈저리게 깨달은 만큼, 이번 대책이 얼마나 실효성을 거둘지 주목된다.
