최근 새 아파트에 입주한 P씨는 출근하던 중 깜빡하고 에어컨을 켜둔 채 나왔다는 사실을 알아차렸다. 하지만 P씨는 집으로 돌아가지 않고 그대로 전철에 올라탔다. P씨의 아파트에는 홈 IoT(사물인터넷) 시스템이 적용되어 있기 때문이다. 스마트폰의 앱을 실행시키면 에어컨을 켜고 끄는 것은 물론 거실 조명, 난방, 가스밸브 등의 상태를 원격으로 제어할 수 있다.

새로운 관계망인 사물인터넷 시대가 본격화되면 사람들의 일상생활뿐만 아니라 사회기반시설도 획기적으로 변하게 된다. 차량에 부착된 센서와 GPS가 도심의 교통을 원활하게 흘러가도록 만들어주고, 기반시설에 부착된 센서들은 시설의 노후 정도 및 붕괴 여부를 측정해 보수가 필요하다는 사실을 바로 해당 관청으로 통보할 수 있다.

그런데 사물인터넷은 본래 의도와 전혀 다른 새로운 사회 문제를 야기할 수도 있다. 바로 지난 2011년 우리나라에서 발생했던 정전 사태 같은 일들이 그것이다. 당시 뒤늦게 찾아온 이상기후로 전력사용량이 급증하면서 예비전력이 바닥나자 전력거래소와 한전은 예고 없이 지역별로 순환정전을 실시했다.

그로 인해 전국 곳곳에서 도로 신호등이 꺼져 교통혼잡이 빚어지는가 하면 건물 승강기 속에 갇힌 시민들의 구조 신고가 이어졌다. 야구장에서는 야간경기 도중 조명탑이 꺼져 경기가 중단되고, 은행 업무 마비 및 병원 진료가 중단되는 사태가 벌어진 것. 만약 순환정전이 실시되지 않았다면 전국 블랙아웃이라는 대재앙이 발생할 수도 있었던 급박한 상황이었다.

전문가들은 대규모 블랙아웃이 대형 태풍 수십 개가 한꺼번에 강타하는 정도의 충격을 사회에 줄 수 있다고 경고한다. 실제로 1977년 뉴욕에서 25시간 동안 정전이 계속됐을 때 상점 1700여 곳이 약탈당했고 4천명이 체포됐으며 1억5000만 달러의 재산 피해가 났다.

미국 프린스턴대학 전기공학과 연구원들은 최근 개최된 유즈닉스(USENIX) 보안 세미나에서 사물인터넷을 해킹할 경우 전력망 고장이 일어나 대규모 정전으로 이어질 수 있다는 연구결과를 발표했다. 이때 해커들의 공격 방법은 바로 P씨처럼 에어컨이나 히터, 전기오븐 등의 가전제품을 일시에 원격 제어하는 것이다.

와이파이 해킹해 고출력 IoT 기기 노예화

연구진이 제시한 시뮬레이션에 의하면, 일정 타깃 지역의 에어컨 9만대 혹은 전기온수기 1만8천대를 원격 제어로 동시에 작동시키면 전력망에 고장을 일으킬 수 있다. 전력 수요가 갑자기 30% 이상 늘어나면 전력망의 모든 발전기가 작동을 멈추었기 때문이다.

전력은 한 구간의 전력망에서 다른 구간으로 이동하므로 전력망 불균형 전기공급으로 이 같은 공격이 가능하다. 프린스턴대학 연구진은 이 새로운 유형의 공격에 대해 ‘MadIoT(Manipulation of demand via IoT)’라는 이름을 붙였다.

P씨가 밖에서도 에어컨 제어를 마음대로 할 수 있는 것은 집 안의 가전제품들이 와이파이와 연결되어 있기 때문이다. 해커가 와이파이를 해킹해 고출력 IoT 기기들을 노예화할 경우 그런 상황이 발생할 수 있다. 즉, MadIoT는 전력망의 공급 측면을 직접 공격하는 것이 아니라 수요 측면을 조작하는 공격법인 셈이다.

IoT 기기를 이용한 대규모 공격은 이미 발생한 적이 있다. 2016년에 발생한 미라이(Mirai) 봇넷 사건이 바로 그것이다. 봇넷이란 인터넷에 연결되어 있으면서 외부의 원격 제어 공격을 당한 여러 컴퓨터들의 집합을 가리킨다.

당시 미라이 봇넷은 보안이 취약한 CCTV나 IP 카메라 등의 IoT 기기를 해킹해 보안회사 등의 업체에 디도스 공격을 감행했다. 이 악성코드를 개발한 범인은 자신에 대한 당국의 추적을 피하기 위해 미라이 봇넷 코드를 온라인에 공개했고, 그를 이용한 공격이 다시 릴레이처럼 이어졌다.

첫 공격이 있은 지 약 한 달 후에는 미라이를 이용한 대규모 디도스 공격으로 인해 미국 동부 해안 지역의 인터넷 접속이 불통되기에 이를 정도였다. IoT 기기를 이용한 미라이 봇넷은 개발자 자신마저 놀랄 만큼 강력한 공격력을 발휘했다. 그처럼 공격력이 강했던 이유는 봇들이 인터넷에 다양하게 분산되어 있어 멈추기가 어려웠기 때문이다.

IoT 기기들, PC에 비해 보안에 취약해

사실 IoT 기기들은 보안에 매우 취약하다. 그동안 PC의 보안 체계는 매우 발전한 데 비해 인터넷에 연결돼 원격으로 제어할 수 있는 IoT 기기들은 개발 및 경제성 등에 우선순위가 밀려 보안이 취약한 편이다. 2016년 당시 미라이 봇넷에 감염된 IoT 기기는 196여 국가에서 26만 개 이상이었던 것으로 밝혀졌다.

지난해 기준으로 전 세계에 있는 IoT 기기는 약 270억 대인 것으로 추정한다. 그러나 2025년에는 약 750억 대, 2030년에는 1250억 대 등 앞으로 기하급수적으로 증가할 것으로 예상된다. IoT 기기가 급증할수록 취약점도 덩달아 증가하기 마련이다.

최근 휴렛팩커드(HP)는 자사가 출시한 프린터에서 보안 취약점을 발견하는 사람에게 1만 달러의 상금을 주는 프로그램을 시작했다. 이는 PC가 아닌 프린터 제품을 두고 제조사가 보안 문제로 상금을 내건 최초의 사례다. 실제로 미라이 봇넷 사건에서도 프린터가 해킹 경로로 사용됐으며, 지난해에는 프린터 15만대가 해킹을 당해 저절로 문서를 출력하는 사건이 있었다.

기업들이 IoT 기기의 보안 강화에 둔감한 것은 경제성 때문이다. 이번 연구를 진행한 프린스턴대학 연구진은 IoT 산업이 발전할수록 MadIoT처럼 사회의 기간시설에 대한 대규모 공격의 위험성도 증가할 것이라고 경고했다. 기업들이 하지 않는다면 IoT 기기의 보안 강화를 촉진하는 법안이라도 제정해야 할 판이다.