지난 3월 아마존 닷컴의 허니웰 와이파이 자동 보일러(Honeywell Wi-Fi Thermostat) 상품 페이지에 황당한 리뷰가 한 건 올라왔다. 리뷰는 사람들에게 스마트 홈의 예상치 못한 기능 하나를 알려주고 있었다. 바로 ‘복수’였다.
리뷰 작성자는 스스로를 ‘아내의 외도로 인해 이혼한 남성’으로 소개했다. 그에 따르면 이혼 후 전 부인은 그들이 살던 집에 새 애인을 들여 생활했다. 그리고 이 집에는 허니웰 와이파이 자동 보일러가 설치돼 있었다.
이혼으로 집을 떠난 뒤에도 남편은 허니웰 모바일 앱을 삭제하지 않았고, 그것을 이용해 전부인과 그녀의 애인을 ‘조금 덜 행복하게’ 만들었다. 그가 쓴 리뷰를 살펴보자.
‘올 겨울 오하이오의 날씨는 말 그대로 지옥 같았다. 난 그 중에서도 가장 추운 날들만을 골라 밤에 몰래 앱을 통해 보일러를 껐다. 둘 중 한 명은 새벽 여섯 시쯤 몸을 떨며 일어나 보일러를 다시 켜러 거실로 나와야 했을 것이다.”
“그들이 주말에 어딘가로 놀러 간다는 소식이라도 들리면, 그들이 집을 비웠을 시간에 실내 온도를 왕창 높여두고, 도착 한 두 시간 전쯤 집을 다시 냉장고로 바꿔놨다. 매일 새벽 추위에 떨다 난방비 폭탄을 맞아 황당해 할 그들의 얼굴을 상상하면 행복하기 그지 없다.”
“전 부인이 멍청하긴 하지만 이런 복수를 계속 할 수는 없을 것이이다. 어쨌건 지금 이 순간은 분명 행복하다. 그녀가 나의 기쁨을 조금 만 더 눈치채지 못한 채 여름이 오기만을 기다린다. 올 여름엔 그들을 찜통 속으로 몰아넣을 것이다. 그들에게 지옥의 불구덩이를 맛보게 해 줄 것이다.”
한편 이 리뷰를 읽은 8,490 명의 아마존 사용자 가운데 8,200 명이 이 리뷰에 대해 ‘유용하다’라고 평가했다.
이번과 같은 취약성 사례에 관해, 보안 업체 사이넥(Synack)의 보안 연구 엔지니어 콜비 무어는 “스마트 홈 기기들은 아직 내제적인 취약성을 완전히 극복하지 못했다. 시장 진입 초기 상태인 이 기기들은 아직은 ‘보안’보다는 ‘편리함’을 어필해 사용자들의 관심을 끄는데 주력하고 있는 양상이다”라고 진단했다.
그는 “일부 선도적인 기기들의 경우에는 사용자 재설정이나 인증서 재설정 등의 보안 기능을 지원한다. 그러나 그리 철저하다고 평가하기 어려운 수준들이다. 제조사들은 안전한 상품을 설계하기보단, 최종 사용자들에게 보안에 대한 책임을 떠넘기려 하고 있다”라고 지적했다.
반면 오늘날 많은 사용자들은 스마트 홈 기기의 패스워드를 주기적으로 변경해야 한다는 인식조차 못하고 있다. 스마트 홈 기기가 PC 처럼 해킹 가능한 대상이라는 사실 자체를 모르는 것이다.
보안에 대한 인식의 미비는 지난 11월 7만 3,000대의 인터넷 연결 카메라가 녹화 내용을 웹 상에 스트리밍 하고 있던 것이 확인됐다는 보도에서도 잘 드러난다.
고객들이 기기 구매 당시 기본으로 설정된 패스워드를 변경하지 않고 사용했기 때문에 (더욱이 해당 패스워드는 제조사의 홈페이지 등을 통해 쉽게 확인 가능하다) 발생한 문제였다.
사생활 보호를 위해 구매한 카메라가 가장 가까운 거리에서 자신의 사생활을 사방에 퍼뜨리고 있던 것이다.
물론 보안 문제를 진지하게 다루는 IoT, 스마트 홈 기기 제조사들도 적지 않다. 무어는 대표적인 사례로 네스트(Nest)의 스마트 보일러와 드롭캠(Dropcam)의 카메라를 언급했다. 그는 “이 기기들은 실험실 환경이 아니라면 해킹이 거의 불가능하다”라고 설명했다.
그러나 대부분의 초기형 스마트 홈 기기들은 온갖 취약성을 품은 채로 시장에 출시됐다. 무어는 “이를 테면 포스캠(Foscam) 카메라가 있다. 어디서나 가장 저렴하게 살 수 있어 우리 주변 곳곳에서 쉽게 볼 수 있는 제품이다”라고 말했다.
그는 “포스캠의 디렉토리는 취약성의 총체다. 사용자는 커널 메모리를 읽고 패스워드 등을 디렉토리에 아무렇게나 버리게 된다. 누군가 그 디렉토리에 접근한다면, 인터넷을 통해 타인의 카메라에 접근할 수 있게 되고, 인증서 같은 것은 필요도 없이 거기에 원격 접속이 가능하다”라고 설명을 이었다.
사이넥 연구소에서는 한 가정용 보안 시스템의 보안 성능을 테스트했던 바 있다. 그 결과 ‘가정과 소규모 사업장을 위한 DIY 솔루션’이라는 이름을 내세워 홍보하는 이 솔루션은 너무나도 쉽게 무력화됐다. 심지어는 집 안 침입을 끝낸 뒤 자리를 떠날 때는 다시 경비를 활성화하는 것까지 가능했다.
알람은 한 번도 울리지 않고, 사용자들은 무슨 일이 일어났는지 짐작조차 못하게 되는 것이다.
무어는 스마트 홈을 공략하는 해킹 툴 패키지가 블랙 마켓에서 거래되는 상황도 가능하다고 전망했다. 그에 따르면 이런 거래가 현재 활성화되지 않고 있는 이유는 기술적 어려움 때문이 아니다. 그저 해커들의 인식 부족과 그런 툴을 거래할 만큼 스마트 홈 시장이 성장하지 않은데 있기 때문이다.
하지만 PC 맬웨어가 거래되듯 스마트 홈을 노리는 맬웨어도 언젠가는 거래될 것이며, 그 시점이 오면 재앙이 펼쳐질 것이라고 무어는 관측했다.
무어는 “근래 내가 보고 들은 사례 중 가장 충격적인 것은 로컬 IP 공간을 스캔 해 IP 카메라에 접근하는 기술이었다. 화면을 조회하기 쉽다는 이유로 많은 사람들이 집 곳곳에 설치하는 IP 카메라가 범죄자들이 집 안을 들여다보는 도구로 악용되는 것이다. 미래의 범죄자들은 거주자가 언제 집을 비우는지, 어떤 생활 패턴을 가지고 생활하는지를 확인해 더욱 지능적으로 도둑질을 할 수 있을 것이다”라고 말했다.
스마트 기기 자체를 바꿔 치기 하는 방법도 가능할 것이다. 상점에 위장 취직한다거나 정상 제품 구매 후 내부를 변경해 반품하는 등의 방법으로 취약한 기기를 판매되기 전 손을 쓸 수 있을 것이다.
이 방법을 시험해보기 위해 무어와 사이넥 연구원들은 시장의 대표적인 IP 카메라 몇 제품을 구매한 뒤 하드웨어를 교체하고 이베이에서 구매한 포장용기로 제품을 다시 포장했다. 이어 사무실의 다른 직원들에게 정상 제품과 재포장 제품의 차이를 구별해 볼 것을 요청했지만, 성공한 직원은 한 명도 없었다.
무어는 “부지런한 해커들만 할 수 있는 방법이겠지만 부촌가의 상점을 대상으로 한다면 충분히 쓸모 있는 전략일 것”이라고 말했다.
무어는 이미 프리미엄 상품들은 보안 문제를 염두에 두고 설계되고 있으며, 시장이 성장해감에 따라 보안에 대한 고려가 일반 제품들에게도 확대될 것이라 전망하면서도, 문제는 아직까지 그런 과정이 온전히 진행되지 못하고 있다는데 있다고 강조했다. 고객의 입장에서는 한동안 취약성의 문제를 고민해봐야 하는 상황이라는 지적이다.
무어는 자신의 보안 업계 동료가 겪고 있는 어려움을 설명했다. “동료에 따르면 에어백 테크놀로지를 개발해 업체들을 찾아가면, 반응이 꽤 뜨겁다. 하지만 IoT용 보안 테크놀로지를 가지고 관련 업체들을 찾아가면 그게 왜 필요한지를 묻곤 한다. 그들은 할 수 없는 게 아니라 하지 않는 것이다 ”라고 말했다.
dl-ciokorea@foundryco.com
