사물인터넷(IoT: Internet of Things) 시대가 도래하면서 이에 대한 보안 위협도 현실화되고 있다는 진단이 잇따르고 있는 가운데, IoT 서비스와 기기를 설계하는 단계부터 프라이버시 강화 규정을 법제화해야 한다는 주장이 제기됐다.
한국인터넷진흥원은 지난해 말부터 SSDP 증폭 DDoS 공격이 증가해 주의를 요구했다. SSDP는 네트워크 상의 서비스나 정보를 찾는 프로토콜이다. 프린터나 스캐너, IP카메라, 스마트TV 등 IoT 기기가 네트워크를 탐색할 때 SSDP를 쓴다. 악성코드를 감염시켜 좀비PC를 만드는 DDoS와 달리 프로토콜 취약점을 악용한다. 과정은 간단하지만 효과는 크다.
지난 1월부터 3월까지 1분기 동안 KISA DDoS 사이버대피소로 발생된 SSDP 증폭 공격 사례만 해도 8회에 이른다. SSDP 공격 근원지별로 보면 미국(42%), 중국(35%), 한국(10%) 순이다.
공격자는 의도적으로 SSDP 취약점을 악용해 DDoS 공격을 한다. 이 프로토콜은 기기가 네트워크에 연결된 다른 기기를 찾고 통신할 수 있게 허용한다. 공격자는 SSDP 취약점을 이용해 시스템에 지속적으로 패킷을 보낸다. 이런 공격은 손쉽게 50기가바이트(GB) 이상 트래픽을 발생시킨다. 웹사이트나 네트워크 중단 사태를 일으킨다.
국회입법조사처가 발간한 ‘이슈와 전망’에서는 사물인터넷 개인정보보호의 문제점과 입법적 대응방안을 연구했는데, “사물인터넷은 기기 및 네트워크 간 상호 호환성을 전제로 하기에 보안상 취약성이 구조적 측면에서 상당히 높다고 할 수 있으므로, 이로 인한 개인정보의 유출 및 오남용을 사전에 방지하는 입법 대안을 마련할 필요가 있다”고 말했다.
이러한 진단과 지적은 미래창조과학부에서도 이미 있었다. 미래창조과학부는 ‘2014년 사이버 보안 침해사고 주요 동향 및 2015년 전망 분석’ 자료에서 “우리 생활의 모든 사물로 확대되는 사물인터넷(IoT) 환경이 도래하면서, 국내에서도 유무선 공유기를 비롯한 홈CCTV 등의 보안취약점을 악용한 침해사고가 발생하는 등 IoT 보안 위협이 현실화했다”고 밝혔다.
또 “가트너의 보고서에 따르면 2020년에는 250억대로 예상되는 등 웨어러블, 홈가전, 의료 등 국민 실생활과 밀접한 IoT 기기가 급속히 증가함에 따라 이를 악용한 디도스(DDoS) 공격, 악성코드 유포 등 IoT의 보안위협이 현실화될 것으로 예상된다”고 했다. 미래부는 냉난방제어기나 POS단말기, 홈CCTV, 유무선 공유기 등의 보안 위협을 실례로 들었다.