인터넷이 연결된 것은 무엇이든 해킹할 수 있다고 전문가들은 말한다. IT 기술이 발전하는 만큼 피해 범위도 넓어졌다. PC에 저장한 문서가 도둑맞고 클라우드 속 사진이 털렸다. 스마트폰으로 주고받은 메시지가 공개됐다. 사물인터넷(IoT) 해킹은 낯선 일이지만 자연스러운 순서이기도 하다. 그렇다고 가정용 월패드가 해킹돼 사생활이 유출된 사건의 충격이 반감되는 건 아니다. 겉보기에 이 문제는 뚫으려는 해커와 막으려는 업체 간의 기술전이다. 그런데 전황이 한쪽으로 기울 수밖에 없는 구조적 난점이 있다.

월패드는 주택 벽면에 붙어 있는 기기다. 주택용 인터폰을 대체한 최신 기술이다. 과거 인터폰은 관리실이나 타 세대에 전화를 걸거나, 외부 방문자 영상을 보여주는 데 그쳤다. 월패드는 인터넷에 연결되어 있다. 최신식일수록 무궁무진한 기능을 지원한다. 아파트 중앙 서버와 연결되어 엘리베이터를 호출하고, CCTV 화면을 보여준다. 냉난방을 조정하고 현관문도 연다. 스마트폰 앱과 연결하면 어디서나 이 작업을 할 수 있다. 신축 아파트 대부분에 월패드가 달려 있다. 이 월패드 다수에 화상통화를 위한 실내용 카메라가 있다. 그래서 해커의 먹잇감이 되었다.

2022년 12월14일 경찰에 체포된 해커 A씨는 방송에도 출연한 적이 있는 보안 전문가로 알려졌다. 그는 이 분야 전문성을 40만4848개 가구에 달린 월패드 카메라를 공격하는 데 쏟았다. A씨가 2021년 8월부터 11월까지 해킹한 국내 아파트 단지는 638개다. 집안 내부를 촬영한 뒤 해외 웹사이트에 사진과 영상을 판매하려 한 혐의를 받는다. 12월20일 경찰 발표에 따르면 A씨의 범행 과정은 이렇다. 우선 식당이나 숙박업소 등의 인터넷 공유기를 해킹했다. 수사기관의 추적을 따돌리려 일종의 ‘경유지’를 마련한 것이다. 대부분 아파트의 세대 내 월패드는 하나의 망을 통해 중앙관리 서버에 연결되어 있다. A씨는 중앙관리 서버에 침입해 악성 프로그램을 설치했다. 이를 통해 가구별 월패드까지 접근할 수 있었다. 이렇게 녹화한 영상을 모아 그는 해외 인터넷 사이트에 판매를 시도했다. 게시물에는 몰래 촬영한 영상 일부 화면을 첨부했다. 실제로 판매했는지는 확인되지 않았다.

국내에서 월패드가 해킹돼 이같이 대규모로 사생활이 유출된 사례는 그간 없었다. 해커가 검거되기 전부터 범행 대상이 된 아파트 목록이 떠돌며 불안감이 고조됐다. 그런데 해외를 살피면 유사한 사건이 빈발하고 있다. 2020년 싱가포르 아파트 내부 영상이 온라인 포르노 사이트에 올라왔다. 이 영상은 샘플로, 더 방대한 양의 원본은 메신저 프로그램 ‘디스코드’를 통해 거래됐다. 영상 피해자 가운데에는 아동도 있다고 알려졌다. 2017년에는 중국 성인 사이트에서 IP 카메라(인터넷과 연결된 카메라) 해킹 영상이 떠돌았다. 반려동물이나 유아를 확인하기 위해 설치한 카메라를 해킹한 것이다.

전문가들 사이에서 사물인터넷의 취약한 보안이 논의된 것은 더 오래된 일이다. 테크 전문기자인 카슈미르 힐은 2013년 홈오토메이션(가정 내 자동화시스템)을 시험적으로 해킹한 뒤 기사화했다. 홈오토메이션 제조사 직원들의 집안이 대상이었다. 힐은 이들에게 전화를 걸어 홈오토메이션 시스템에 침입했음을 알리고, 원격으로 집안 전등 스위치를 켜고 꺼서 이를 입증했다. 그는 단순한 구글링만으로도 이들 시스템에 접근할 수 있었다.

유독 무른 업계의 방패

최신형 월패드는 보안이 나을까? 해커 A씨가 특별한 수법이나 뛰어난 기술을 갖춰서 월패드 40만 개 이상을 뚫을 수 있었을까? ‘화이트햇(또는 화이트해커)’이라고 불리는 보안 전문가들은 그렇지 않다고 말한다. “가정 월패드 해킹은 쉬운 편”이라고 입을 모았다. A씨의 방식은 전형적 해킹 수법이며 고도의 숙련을 요하지도 않는다고 했다. 기업체나 정부 기관을 해킹하기 위해서는 더 차원 높은 기술이 필요하다. 여러 강력한 솔루션(해킹 방지 소프트웨어)을 우회해야 하기 때문이다. 신종 수법이라 할 법한 ‘피싱’도 아니다. 피싱은 메일로 대상을 유인해 악성코드를 뿌리는 방식을 말한다. 월패드 해킹은 소프트웨어 취약점을 노려서 뚫는, 상대적으로 단순한 방식이다. 대상이 월패드여서 신종 범죄처럼 보일 뿐, 일반인들이 연상하는 ‘해킹의 전형’이라고 전문가들은 말한다.

메커니즘이 단순하다고 위협이 안 되는 건 아니다. 보안 전문 기업 스틸리언의 김도현 선임연구원은 월패드 해킹이 취하는 방식이 “가장 고전적이면서도 강력한 수법”이라고 했다. 대상이 ‘낚여야’ 해커가 침입할 수 있는 피싱과 달리, 소프트웨어 취약점만 공략하면 시스템은 온전히 공격자 손에 들어간다. 그런데 ‘고전적’이라는 김 선임연구원의 표현에는 조금 다른 뉘앙스도 있다. 신경을 쓰면 어느 정도 방비할 수 있는 낡은 수법이라는 뜻이다. “사실 최근 들어 소프트웨어 취약점들은 (해커가) 발견하기 매우 어려워졌다. 관련 연구가 많이 진행되기도 했고, 소프트웨어를 만드는 기업이나 사람들이 정책상 안전한 소프트웨어를 만들도록 교육한다. 그런데 사물인터넷 분야는 비교적 그렇지 못한 것 같다.” 해커의 창이 특별히 날카로운 게 아니라 이 업계의 방패가 유독 무르다는 게 그의 평이다.

스틸리언을 비롯한 보안업체들은 주택 건설사의 의뢰를 받고 현장 사물인터넷 점검 업무를 한다. 점검이란 ‘모의 해킹’이다. 해커의 관점에서 시스템을 뚫을 수 있는지 체크하는 것이다. 김도현 선임연구원은 “케이스 바이 케이스이며 우리가 월패드 전부를 체크한 것은 아니다”라고 전제하면서도, “시도하는 족족 월패드 해킹에 성공했다”라고 말했다. 보안 전문가 출신 해커 A씨와 여타 업계 관계자들의 결정적 차이는 숙련도가 아니라 범죄를 저지를 의도 유무였던 셈이다.

수차례 월패드 보안시스템을 ‘뚫어본’ 그는, 제조사가 제품을 너무 급하게 내는 듯하다고 했다. “사물인터넷이라는 시장이 급부상한 게 몇 년 안 됐다. 여타 소프트웨어 업계에 비해 이쪽은 보안 요소를 따질 시간이 없는 듯해 보인다. 코드를 짤 때 ‘의도되지 않은 행위를 할 수 있느냐’를 고려해야 한다. ‘시큐어 코딩’이라고 하는데, 이게 부족하다.” 제작보다 더 큰 문제로 지적하는 건 사후관리다. 완성도 높은 소프트웨어라도 시간이 지나면 보안이 취약해진다. 기술 발전과 함께 해커도 새로운 공격 수단으로 두드리기 때문이다. PC나 스마트폰 등은 펌웨어를 업데이트해 ‘누수’를 막는다. 제조사가 ‘패치’를 배포해 새로운 방어벽을 구축하는 것이다. 예컨대 마이크로소프트는 끊임없이 윈도를 자동 업데이트한다. 반면 월패드를 비롯한 사물인터넷은 패치하기 어려운 게 많다. 김 선임연구원은 “집에 있는 월패드를 체크해보면 안다. 자동으로 업데이트가 되는 건지 수동으로 해야 하는지, 직접 해도 되는지 제조사에서 전문기사를 불러야 하는지 명시되어 있지 않은 경우가 잦다. 아예 기능을 제공하지 않는 것도 있다”라고 말했다.

보안업체 라온화이트햇의 강인욱 핵심연구2팀장도 업데이트 문제를 사물인터넷 해킹의 핵심으로 꼽는다. 그가 보기에 노후화란 단순히 ‘제작된 지 오래됨’을 의미하지 않는다. 관리 소홀이다. 강 팀장의 말이다. “오래된 월패드라고 반드시 위험하다고 단정할 수는 없다. 오히려 충분히 비용을 들여 업데이트가 주기적으로 이뤄졌다면 보안 취약점도 더 많이 발견될 수 있다. 어떻게 관리하느냐에 따라 오래된 게 더 안전할 수도 있다는 의미다.” 그는 제조사가 관리 업무를 하청업체에 맡기는 게 부실한 업데이트의 한 원인이라고 말했다. 소비자는 업데이트되지 않는 사물인터넷의 위험을 잘 알지 못하고, 월패드를 선택하고 구매하는 당사자도 아니다. 제조사와 하청업체로서는 제품을 꾸준히 관리할 유인이 부족하다.

사생활 유출에서 그칠 가능성 낮아

업계의 관리와 무관하게 사물인터넷을 해킹에서 보호할 방법이 있을까? 일각에서는 사용자가 스스로 계정 보안을 지켜야 한다고 말한다. 다수 아파트 주민들은 월패드 비밀번호나, 사물인터넷에 연결하는 스마트폰 계정의 비밀번호를 바꾸지 않는다. 이 사실을 알고 있는 해커는 초기 비밀번호(가령 ‘0000’)를 입력하는 것만으로 쉽게 시스템을 들여다볼 수 있다. 주민들이 계정 보안에 신경 쓰면 해킹이 어려워질 수 있다는 데에는 전문가들도 대부분 동의한다. 하지만 비밀번호 변경이 근본적 해결책은 아니라는 것도 공통된 의견이다. 이용자 계정 정보를 확보하지 않더라도 보안 취약점을 뚫는 수법이 있다는 것이다.

제도상 방지책으로는 망 분리가 언급된다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 2022년 12월16일 홈네트워크 보안가이드에서 ‘물리적 망 분리 또는 논리적 망 분리’ 구현을 권고했다. 망 분리란 아파트 각 세대의 네트워크망을 분리해 상호 통신에 제약을 두는 것이다. 망이 분리되지 않은 아파트 단지에서는 해커가 월패드 하나만 공략하고도 전체를 해킹하기 쉽다. 망 분리는 해커에게 장벽을 추가한다. 하지만 이 역시 완벽한 봉쇄책은 아니다. 중앙 서버를 먼저 노려 공격한 뒤에 각 세대 사물인터넷에 접근하는 방식은 망 분리만으로 막을 수 없다. 이번 A씨의 해킹이 단적 예시다. 강인욱 팀장은 “보안 취약점이 있으면 뚫리는 건 같다. 수시로 외부의 점검을 받아야 문제를 발견할 수 있다. 모의 해킹을 해보면, 점검을 받아온 업체와 그렇지 않은 업체의 보안 상태가 매우 다르다”라고 말했다.

‘월패드 사생활 유출’만 방지하려 한다면 원천적으로 막을 방법이 없지는 않다. 김도현 선임연구원이 제시한 대책인데 ‘첨단 기술전’과는 거리가 좀 있다. “일단은 카메라를 가리는 게 최우선이다. 그것만으로 께름칙하다면 나사 몇 개만 풀면 월패드를 들어낼 수 있다. 안에 랜선 같은 게 꽂혀 있을 텐데 그걸 뽑기만 해도 (사생활 유출) 방지는 된다. 이 밖에는 사실 근본적 대응책이 현재는 없다.”

사물인터넷 해킹이 카메라를 악용한 사생활 유출 범죄에만 그칠 가능성은 낮다. ‘스마트홈’의 다양한 기능이 갖은 방법으로 악용될 수 있다. 해커는 집주인 대신 현관문을 열고, 수돗물을 틀며, 가스레인지를 켤 수 있다. 현재로선 여기에 그리 대단한 기술이 필요치도 않다. 이웃집을 노린 장난일 수도 있지만 대규모 테러에 이용될 여지도 있다. 대중적 반응과 달리, 보안 전문가들 가운데 해커 A씨의 범행에 놀라워하는 이는 찾기 어려웠다.