IoT 기기 간 융합에 따라 생각하지 못했던 보안 이슈 발생
철저한 원인 분석과 함께 문제해결에 나서는 자세 아쉬워
[보안뉴스 원병철 기자] 디지털 도어록 취약점에 대한 본지의 단독 보도(남의 집 디지털 도어록까지 ‘띠리릭’... 만능키 된 ‘갤럭시워치’)는 본격적으로 도래하고 있는 초연결사회에서의 부작용과 민낯을 여실히 보여준 사례가 되고 있다.
이번 사건은 취재를 하면 할수록 문제가 커지고 있는 형국이다. 처음 취약점 테스트를 진행했던 디지털 도어록과 갤럭시워치 뿐만 아니라 또 다른 디지털 도어록에서도 같은 문제가 발생하는 것을 확인했다. 여기에다 최근 모델인 갤럭치워치가 아닌 또 다른 스마트워치(갤럭시 기어S3 프론티어)를 두 대나 구입해 테스트를 진행했는데, 똑같은 결과를 얻었기 때문이다.
[이미지=iclickart]
이번 사건에서 디지털 도어록에 갤럭시워치 1대를 등록하면 등록하지 않은 갤럭시워치로도 문이 열린다는 사실을 확인한 후, 기자가 가장 중요하게 생각했던 것은 ①실제로 이러한 문제가 발생하는 디지털 도어록 및 스마트워치의 종류와 ②문제의 원인 및 해결책, 이렇게 두 가지였다.
주택과 아파트에 대부분 설치됐을 정도로 보편화된 것이 디지털 도어록이라고 보면, 분명 이번 사건은 국민의 생활과 안전에 큰 위협을 끼칠만한 중요한 사건이다. 이젠 스마트폰이나 스마트워치로 모든 업무를 처리할 수 있는 세상이기에, 디지털 도어록을 보다 편리하게 열려고 스마트워치를 등록했을 뿐이었던 거다. 그런데 수많은 사람들이 나와 같은 스마트워치를 사용한다는 이유만으로 우리 집 문을 열 수 있다면, 이 얼마나 끔찍한 일인가.
문제는 이번 사건이 디지털 도어록 제조사와 스마트워치 제조사, 심지어 교통카드 제작업체까지 서로 접점이 없는 분야가 얽혀있다 보니 책임소재와 원인분석에 난항을 겪고 있다는 점이다. 더욱이 ‘디지털 도어록’과 관련이 없던 제품과 서비스가 갑자기 ‘원인’의 하나로 지목되면서 당혹스러움을 보이고 있다.
관련 기업들의 이러한 곤혹스러움도 일면 이해가 가는 측면이 있다. 디지털 도어록에 사용하라고 만든 제품과 서비스도 아닐 뿐더러 디지털 도어록 업체에서 사용하도록 한 것도 아니기 때문이다. 그럼에도 이번 사건은 스마트워치 사용 기능을 단순히 해제하는 것만으로 넘어갈 문제는 결코 아니다.
갤럭시워치를 사용하는 사람이 ‘일부’이고, 그중에서도 ‘일부’만이 디지털 도어록에 갤럭시워치를 등록해 사용한다고 할지라도 국민들의 안전이 위협받을 수 있기 때문에 우리는 근원적인 문제 해결에 나설 필요가 있다. 실제로 이번 취약점을 알려온 제보자는 ‘고등학생 아들’로부터 해당 내용을 접했다고 한다. 어른들에게는 생소할 수도 있지만, 청소년 및 젊은층에게 스마트워치를 디지털 도어록에 연동하는 것은 이미 ‘일상’이라는 예기다.
이번 사건과 관련된 몇몇 기업들은 해결방안으로 디지털 도어록과 스마트워치, 더 나아가 교통카드 기능을 연동하지 못하도록 계획하고 있다. 물론 보안을 위해 어쩔 수 없다면 당연히 취해야할 조치임은 분명하다. 그럼에도 아쉬운 건 5G 시대를 리딩하며 초연결사회를 지향하는 우리나라에서 향후 홈네트워크의 허브로 부상할 수 있는 디지털 도어록과 다른 기기와의 연동에 문제가 있다고 연결을 끊어버리는 단편적인 처방이 최선은 아니라는 생각 때문이다.
지금 세상에서 디지털 도어록은 집안의 안전은 물론 홈네트워크의 허브로서 그 기능을 넓혀야 하고, 스마트워치는 단순히 스마트폰과의 연동을 넘어 ‘웨어러블’ 기기로서 역할을 확대해야 한다. 그리고 이들 IoT 기기가 서로 연결돼 상호작용할 수 있도록 하는 NFC, 블루투스 기능 역시 앞으로 더욱 보편화될 수밖에 없다. 그렇기에 ioT 기기 간 연결에서 발생할 수 있는 보안 취약점을 발견하고 연구하는데 더 많은 노력이 필요하다. 이번 사건이 이를 위한 중요한 계기가 되길 기대한다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>