‘2030년 서울. 인공지능(AI)과 초고속 무선통신으로 무장한 첨단 자율주행 자동차가 시내 곳곳을 누비고 있다. 그런데 차량 한 대가 불법 유턴을 하더니 무시무시한 속도로 앞서가던 석유 수송 차량을 향해 돌진한다. 차량 추돌로 폭발이 일어나면서 도로 곳곳이 아수라장이 되고 만다.’

독자적 차량용 운영체제(OS)를 갖춘 ‘커넥티드(Connected) 카’가 해킹 공격을 받을 경우 발생할 수 있는 가상의 상황이다.


보안기술 없으면 4차 산업혁명 불가능

4차 산업혁명은 초연결성, 초지능화, 초혁신을 주요 특징으로 한다.

빅데이터 기반의 인공지능과 사물인터넷(IoT) 그리고 이를 바탕으로 한 자율주행차와 로봇, 드론(무인항공기), 스마트 가전제품 등은 4차 산업혁명의 진행 방향을 가늠하게 한다.

자율주행차가 상용화되면 사람이 직접 운전을 할 필요가 없어지는 만큼 생활이 편리해진다. 출퇴근 시간 동안 자율주행차량 내부에서 휴식하거나 업무준비를 할 수 있다면, 생산성도 높아질 것이다.

IoT 기술이 접목된 스마트 가전제품이 늘어나면 가정 내 조명기기, 보안시스템, 가정용 전자기기 등을 스마트폰으로 원격 제어할 수 있는 홈오토메이션 시스템 구축도 가능해진다. 집에 음료수가 떨어지거나 남아있는 밥이 없으면 냉장고나 밥솥이 사용자의 스마트폰으로 ‘알림 메시지’를 전송하는 날이 머지않아 올 수도 있다.

하지만 이 모든 혜택은 보안이 담보되지 않으면 제대로 누리기 어렵다. ‘초연결성’의 시대에는 사이버 공간과 현실 공간이 한데 뒤섞인다. 초고속 통신과 첨단 센서 기술을 바탕으로 일상의 많은 정보가 실시간으로 데이터화되기 때문이다. 바꿔 말하면 그만큼 사이버 공격의 목표물이 늘어난다는 의미도 된다.

앞서 예로 든 자동차의 경우 전자제어장치와 통신망 등을 바깥에서 원격으로 조종할 수 있는 해킹 기술이 이미 등장해 범죄 피해가 발생하고 있다.



랜섬웨어 공격을 받은 노트북 <사진 : 블룸버그>

해킹 피해, PC에서 자동차·TV로 확산

2015년 7월, 보안 전문가인 찰리 밀러와 크리스 발라섹은 주행 중인 피아트-크라이슬러의 지프 체로키를 해킹하는 데 성공했다. 이들은 16㎞ 떨어진 곳에서 자동차의 와이퍼를 움직이고 라디오 주파수를 바꾸는 것은 물론 엔진까지 멈춰 세웠다. 제조사인 피아트-크라이슬러그룹(FCA)은 해당 모델 140만대를 긴급 리콜했다. 자동차 보안 취약점으로 인한 사상 첫 리콜이었다.

이는 미국에서 해킹과 제조물 결함에 대한 인식이 바뀌는 계기가 됐다. 자동차나 가전제품 등의 해킹 취약점이 제조물의 결함으로 인식되면서 집단 소송이나 징벌적 과징금 부과 대상으로 인정받은 것이다. 이어 미국 의회도 자동차 사이버 보안에 대한 기준을 정하는 내용의 법안을 발의했다.

작은 컴퓨터를 장착한 스마트 제품으로 넘쳐나는 가전 시장의 상황도 비슷하다. IoT 기기는 인터넷 접속은 가능하지만, OS와 처리 능력의 한계로 인해 고급 보안 기능을 갖추기 어렵다. 해커들은 이런 허점을 노려 자동으로 설정되는 비밀번호나 흔하게 사용되는 비밀번호를 악용해 악성 코드를 만들어 IoT 기기의 권한을 손쉽게 가로챈다.

스마트 가전제품이 해킹되면 그 피해는 사생활 노출이나 에어컨과 냉장고의 오작동으로 끝나지 않을 수도 있다.

미국 보안 서비스업체 프루프포인트는 2013년 12월~2014년 1월 스마트TV·냉장고·무선공유기 등 총 10만개의 기기를 통해 75만개의 스팸 메일이 발송된 사실을 확인했다. 분석 결과 대부분 소비자가 제품 구매 시 세팅된 비밀번호를 바꾸지 않고 사용한 것이 원인으로 지적됐다.

PC 사용자가 주요 타깃이었던 ‘랜섬웨어’ 공격이 스마트TV에서 이뤄지는 경우도 늘고 있다. 지난해 말 일본에서만 300건 이상의 스마트TV 랜섬웨어 감염 사례가 보고됐다. 문서나 사진 등 주요 파일을 암호화하는 PC용 랜섬웨어와 달리 화면 자체를 정지시키는 방식이어서 OS 초기화만으로 문제를 해결할 수 있지만, 복귀에 시간과 돈이 들어가기 때문에 사용자 입장에서는 꼭 필요한 기능 외에는 사용을 자제하는 수밖에 없는 상황이다.

‘인간게놈지도’ 완성으로 방대한 개인 의료정보가 축적·사용될 의료 분야나 AI 전투 로봇 개발 경쟁이 뜨거운 군사 분야, AI 기반의 자산관리서비스인 로보어드바이저와 핀테크 등 정보기술(IT) 결합이 활발히 이뤄지고 있는 금융 분야도 해킹을 당할 경우 엄청난 피해로 이어질 수 있는 대표적인 보안 취약 분야다.



가천대 길병원 인공지능 암센터에서 의료진이 암 환자와 가족들에게 인공지능 ‘왓슨’이 제시한 치료 과정을 설명하고 있다. <사진 : 조선일보DB>

“제품 보안 기준 미달하면 수출도 힘들 것”

자가학습(딥러닝) 능력을 갖춘 IBM의 암 진단 AI ‘왓슨 포 온콜로지(왓슨)’의 경우 환자 성별과 나이, 몸무게, 혈액검사 수치, 암 진행 여부, 수술 종류, 수술 날짜, 호르몬 수치 등 클라우드에 저장된 의료 관련 데이터베이스(DB)를 기반으로 암 환자에게 맞는 최적의 치료법을 제시한다. 치료제 종류와 관련 논문도 함께 알려줘 며칠씩 걸리며 자료를 찾아야 하는 의료진의 수고를 덜어준다. 그런데 만일 해킹 공격으로 진료 기록이나 처방이 바뀐다면 대형 의료 사고를 불러올 수도 있다.

2012년에는 당뇨 환자인 미국의 한 컴퓨터 보안 전문가가 자신의 인슐린 펌프를 해킹했다. 무선으로 연결해 외부에서 마음대로 인슐린 양을 조절할 수 있음을 증명했고, 미 식품의약처(FDA)는 병원 관계자들에게 해당 제품의 사용 중지를 권고했다.

AI가 접목된 군사 분야에서 해킹 공격은 끔찍한 재앙으로 이어질 수 있다. ‘AI의 아버지’로 불리는 스튜어트 러셀 미국 캘리포니아대 버클리캠퍼스(UC버클리) 교수는 “지름이 1인치(2.54㎝)에 불과한 드론으로 인명을 살상할 수 있는 시대가 됐다”며 “트럭 한 대면 이런 드론을 300만대 정도 실어 나를 수 있어서 만일 실전에 투입되면 핵무기 이상으로 치명적일 수 있다”고 경고했다.

이 밖에 로봇청소기와 스마트폰·태블릿을 통해 인터넷과 연동되는 스마트 완구류 등 네트워크와 운영체제가 있는 곳은 예외 없이 해킹 공격의 표적이 되고 있다.

해킹에 대한 두려움이 커지는 것에 비례해 보안 산업의 파이는 커지고 있다. 미국의 보안 전문 매체 CSO는 2004년 35억달러(약 3조9500억원)였던 글로벌 사이버보안산업 규모가 올해는 35배 규모(약 138조원)로 늘어날 것으로 전망한다. 이와 함께 2015년 3조달러였던 사이버 범죄 피해액은 2021년에 6조달러로, 2016년 100만명이었던 사이버 보안 관련 채용 규모는 2019년 150만명으로 늘어날 전망이다.

전문가들은 이 같은 상황 변화로 미국과 유럽연합(EU) 등 선진국 수출 시장에서 보안 관련 눈높이가 부쩍 높아질 것으로 전망한다. 특히 자동차와 가전 등 제조업 경쟁력 회복에 관심이 큰 미국은 보안 관련 표준을 높여 제조업 경쟁력 회복을 모색할 가능성이 크다.

미국은 소방차와 구급차, 의전 차량을 포함한 관용차들이 통신수단을 통해 점점 더 ‘연결’되는 흐름에 발맞춰 단계별 보안 기준을 포함한 10년짜리 기준개발 로드맵을 시행 중이다. 민간 차량 제조사가 관용차도 함께 생산하는 경우가 많아 결국 미국 자동차 시장의 보안 기준 강화로 이어질 것으로 보인다. 일본과 한국에 밀려 경쟁력을 잃은 미국 가전 업체도 보안 이슈를 부각시키는 한편 관련 규제 강화를 자국 시장에서 재기의 발판으로 삼을 가능성이 있다. 일본은 IPA(정보처리 추진기구) 주도로 가전업체를 위한 보안 관련 가이드라인을 마련했다.

이에 따라 국내 업체들 사이에서 제품 본연의 성능이 아무리 좋아도 ‘보안 성능’이 떨어지면 수출 경쟁에서 밀릴 수 있다는 불안감도 커지고 있다. 국내에서는 미래창조과학부가 2014년 10월 ‘IoT 정보보호 로드맵’을 수립하고 지난해 ‘일곱 가지 IoT 공통보안원칙’을 제시했다. 제품·서비스 설계 단계부터 보안 부분을 포함하고 침해 사고 때 대응체계 및 추적을 강화한다는 것이 주된 내용이다.

한국인터넷진흥원도 지난해 10월부터 IoT 혁신센터를 통해 보안 테스트베드를 무료 운영해 IoT 기기를 제조하는 중소 업체들이 보안을 강화할 수 있도록 돕고 있다.

삼성·LG 등 대기업들도 설계 및 개발 단계부터 보안 강화를 위한 프로세스를 적용하고 있지만, 아직 갈 길이 멀다. 연결되는 범위가 넓어진 만큼 개입되는 업체도 많아지고 해커 침입 경로도 넓어졌기 때문이다.


지나친 보안규제, 산업발전 저해 우려도

기업 입장에선 보안 강화를 위한 대규모 비용 부담이 불가피한 만큼, 소비자 입장에서도 보안 기능이 강화된 제품은 그만큼 비용을 더 내고 구매하려는 인식 전환이 필요하다. 이를 위해 냉장고와 에어컨 등에 에너지소비효율 등급을 매기는 것처럼 스마트 가전제품에 보안 등급을 매겨 자연스럽게 가격 차별화를 이끌어낼 필요가 있다는 의견이 많다.

엄격한 보안 규제만이 능사는 아니라는 지적도 있다. 지나친 보안규제는 오히려 산업 발전을 저해할 수 있기 때문이다. 다양한 경로로 수집되는 개인정보의 보호는 중요하지만, 서비스 향상을 위한 기업의 빅데이터 수집과 분석 노력을 지나치게 제한하면 서비스 산업의 국제 경쟁력을 떨어뜨릴 수 있어서 적절한 균형을 맞추기 위해 노력해야 한다.


keyword
랜섬웨어(ransomware) 몸값을 뜻하는 랜섬(ransom)과 악성 코드(멀웨어·malware)를 합성한 말이다. 해커들은 악성 코드를 PC에 침투시켜 문서·동영상 등 중요 파일을 암호화해 접근하지 못하게 하고 돈을 요구한다. 최근 워너크라이 랜섬웨어는 보안이 취약한 PC가 인터넷에 연결만 돼 있어도 악성 코드에 감염시킬 수 있다.
인간 게놈 프로젝트(human genome project) 인간 유전체를 구성하는 31억쌍의 디옥시리보핵산(DNA) 염기서열 전체를 해독하는 과정이다. 유전자들의 총집합인 유전체(게놈)가 해독되면 난치성 질환의 원인 유전자 파악도 가능해져 진단과 치료법을 개발할 수 있는 길이 열리게 된다.
디도스(DDoS·분산서비스 거부) 서버가 처리할 수 있는 용량을 초과하는 정보를 한꺼번에 보내 과부하로 서버를 다운시키는 공격 방식이다. 일반적으로 악성코드나 이메일 등을 통해 사용자의 PC를 감염시켜 좀비PC로 만든 다음 특정 사이트를 공격하게 한다.

plus point

북한 해커부대 규모 美·中 이어 세계 3위


북한은 2014년 11월 북한 김정은의 암살을 다룬 영화 ‘더 인터뷰’(사진)의 개봉을 앞두고 제작사인 소니픽쳐스를 해킹했다. <사진 : 소니픽쳐스>

‘2016 국방백서’에 따르면 북한은 현재 약 6800명의 해커를 보유하고 있다. 이는 2014년에 비해 800여 명 늘어난 숫자다. 해외 언론에 따르면 북한의 해커부대는 규모 면에서 미국·중국에 이어 세계 3위 수준이다. 북한은 이들을 정찰총국 산하에 두고 사이버 테러 전담부대로 운영하고 있다.

북한은 1990년대 들어 사이버 테러를 미래전과 도발의 핵심 전략으로 인식, 해커 양성에 힘을 기울였다. 2000년대 들어서는 김일군사대학(옛 미림대학)을 통해 매년 수백 명의 해커를 배출하고 있는 것으로 알려져 있다.

북한의 해커부대는 그동안 국내에서 발생한 굵직한 사이버 테러의 배후로 지목돼 왔다. 특히 정찰총국은 2009년 디도스(DDoS·분산서비스 거부) 공격을 시작으로 2013년 언론·금융기관 전산망 마비, 2014년 한국수력원자력 사이버 공격 등을 자행했다.

2009년 주요 정부 기관 사이트를 교란한 7·7디도스 공격은 정찰총국 산하 기술정찰조로 불리는 110호 연구소가 공격을 주도했다. 600명 규모로 추정되는 북한 인민군 참모부 산하 사이버전지도국은 한국군의 지휘·통제·통신 교란 작전을 주 임무로 하고 있다. 미 국방성은 지난해 모의실험을 통해 북한의 사이버전 능력을 평가한 결과 미군 태평양사령부 지휘통제소를 마비시키고 본토 전력망에 피해를 줄 정도의 수준인 것으로 분석했다.

한편 미국 정부는 얼마 전 북한의 사이버 공격 조직 ‘히든 코브라(Hidden Cobra)’를 2009년 이후 발생한 글로벌 해킹 사태의 배후로 지목했다.

미국 국토안보부 산하 사이버긴급대응팀(CERT)과 연방수사국(FBI)은 공동 성명을 통해 “북한의 해킹 조직인 히든 코브라가 2009년부터 미국을 포함한 전 세계 언론·금융·항공우주 기관 등 핵심 기반시설을 겨냥해 사이버 공격을 해온 것으로 밝혀졌다”며 추가 해킹 공격에 대비하라고 경고했다. 히든 코브라의 정체는 미국 정부가 악성코드 ‘델타 찰리’를 유포하는 세력의 인터넷 주소를 추적해 밝혀냈다. 북한은 구형 윈도 운영체제를 쓰며 보안이 취약한 컴퓨터에 접근해 악성 코드를 심는 방식으로 해킹을 일삼았다. 북한은 해킹을 통해 갈취한 돈을 ‘충성자금’이란 명목으로 김정은 정권에 상납하는 것으로 알려졌다.

김승주 고려대 정보보호대학원 교수는 “세계 대학생 컴퓨터 프로그램 경진대회에서 김일성대 학생들이 한국의 카이스트(KAIST) 학생들보다 높은 점수를 받고 있다”며 “최고통수권자인 김정은 위원장이 이 분야에 관심을 두고 있는데다 실력을 인정받으면 해외에서 생활할 수 있어 북한 컴퓨터 인재들에게 동기부여가 되고 있다”고 말했다.

이용성 차장

  • 목록
  • 인쇄
  • 스크랩
ⓒ 조선경제아이 & economychosun.com