Security

업데이트와 버그 패치가 없는 스마트TV, 그리고 IoT 제품의 보안 이슈. 이제는 좀 심각하게 생각해야 할 시기가 온 듯..

학주니 2017. 4. 2. 13:45
반응형

좀 예전에 이슈가 된 내용이기는 한데 위키리크스가 삼성의 스마트TV가 해킹에 이용되었다는 내용을 폭로함으로 인해 스마트TV를 비롯한 IoT 제품들의 보안 이슈가 IT 업계의 화두로 잠시(?) 떠올랐다. 지금은 뭐 갤럭시 S8의 발표로 대중의 시선에서 좀 떨어진 내용이 되었지만 이런 보안 이슈는 단지 한순간의 이슈로 끝날 것이 아니라 지속적으로 해결해야 할 문제이기에 좀 신중하게 접근을 해야 하는 것이 맞을 듯 싶어서 내 블로그에 가볍게 얘기를 써볼까 한다. 어찌되었던 내 관심분야이기에 말이지.


보통 스마트TV에서 사용하는 OS는 안드로이드를 많이 쓴다. 안드로이드 자체가 오픈소스이기에 쉽게 가져다가 쓸 수 있고 커스터마이징도 용이하기 때문이다. 삼성의 경우 타이젠을 쓴다고 하는거 같은데 최근 몇몇 모델이 그렇게 나오는 듯 싶고 이전에는 안드로이드를 기반으로 스마트TV를 만들었다. OS에서 그래픽 인터페이스나 인터넷 연결 등 다양한 기능을 지원하니 하나하나 다 구현할 필요가 없기에 많이 쓰는 것이다. 그리고 그 안드로이드 위에 자체적으로 TV 앱을 만들어서 돌리는 것이 스마트TV의 구동방식이다.


그런데 이 안드로이드를 사용한 스마트TV가 해킹의 주 대상이 된다고 한다. 2가지 상황이 벌어지는데 하나는 안드로이드 OS 자체의 취약점을 이용하여 해킹을 하는 경우이고 또 하나는 TV 앱 자체의 버그를 이용하여 해킹하는 경우다. 솔직히 따져서 이는 스마트TV 뿐만이 아니라 안드로이드, 아니 윈도를 사용하는 데스크탑 역시 마찬가지의 문제점을 갖고 있는 부분이다. 그래서 MS는 윈도에 지속적으로 윈도 업데이트를 통해 버그 패치 및 업데이트를 제공해 OS의 취약점을 없애 안전성을 확보하고 있으며 윈도 위에 동작하는 다양한 어플리케이션 역시 지속적인 업데이트를 통해 안전하게 사용할 수 있게 환경을 제공해준다. 아이폰이나 안드로이드를 사용하는 스마트폰 역시 지속적으로 OS 패치가 진행되고 업데이트가 진행됨으로 점점 안정성을 높이고 있다.


그런데 왜 스마트TV는 문제가 될까? 이는 업데이트 부분에 문제가 있다. 스마트폰이나 태블릿과 달리 스마트TV에서 OS의 버그 패치나 업데이트가 진행되는 경우는 별로 못본 듯 싶다. 즉, 한번 출고된 이후에는 출고될 때 설치된 OS 그대로, 앱 역시 그대로 사용된다는 것이다. OS 업데이트에 대한 지원이 없는 경우가 많다. TV 앱 역시 마찬가지다. 처음 출시된 상태 그대로 쭉 사용된다는 얘기다. 결국 출시될 때의 안드로이드 버전이 갖고 있는 버그에 대해 버그 패치가 안된 상태로 지속된다. 앱 역시 마찬가지 상태다. 그리고 스마트TV이기 때문에 인터넷에 연결되어 있고 외부에서의 접속은 자유롭다. 이게 핵심이다. 폭탄을 안고 있는 상태에서 사용하는 것이다.


위키리크스는 해커가 스마트TV를 해킹하여 스마트TV에 연결된 카메라로 스마트TV를 시청하는 사용자들을 감시한다는 내용을 폭로했다


다양한 앱을 이용하는 스마트폰의 경우 다양한 개인정보를 보유하고 있어서 해킹이 되면 문제가 된다. 그것에 비해 스마트TV의 경우 스마트폰만큼의 개인정보를 갖고 있지 않기 때문에 별 문제가 안된다고 생각할 수 있다. 하지만 스마트TV 자체가 문제가 아니라 그 스마트TV를 숙주로 삼아 다른 단말기들을 제어하려고 한다면 그것은 얘기가 다르다. 악성코드에 감염된 데스크탑의 경우 그 데스크탑을 사용하는 모든 앱을 감시할 뿐만이 아니라 연결된 다른 기기들도 제어하여 해커가 원하는 정보를 손쉽게 탈취할 수 있게 만든다. 스마트TV의 해킹은 스마트TV가 연결된 네트워크의 제어권을 해커가 갖고오게 되고 그 네트워크에 연결된 다른 웹캠이나 스마트폰에도 악영향을 미칠 수 있다는 것이 스마트TV 해킹의 문제가 아닐까 싶다. 물론 위키리크스에서 나온 내용에는 이런 부분은 언급이 안된 것으로 알고 있는데 보안을 어느정도 알고 있는 사람이라면 충분히 유추가 가능한 내용이다. 참고로 위키리크스에 나온 내용은 스마트TV에 탑재되어 있는 카메라를 이용하여 해커가 스마트TV를 해킹하고 그 스마트TV에 연결된 카메라를 통해 스마트TV를 시청하고 있는 사용자를 감시한다는 내용이다. 이게 미국 정부기관을 통해서 진행되고 있었다고 위키리크스가 폭로한 것이다.


중국에서 나온 다수의 스마트TV가 안드로이드를 OS로 탑재하고 있으며 대부분이 구형 안드로이드를 이용하고 있다. 또한 위에서 언급한 것처럼 한번 출시된 이후에 업데이트가 전혀 없는 상태로 사용되고 있는 현실이며 이런 구형 안드로이드를 사용하는 스마트TV를 공격하는 악성코드 앱들이 다수 나온 것도 사실이다. 스마트TV라고 하더라도 안드로이드를 사용할 수 있기 때문에 패키지 방식으로 설치도 가능하고(중국에서 만든 스마트TV에서 구글 플레이를 사용하지는 않을 것이다. 구글 정식 안드로이드가 아닌 오픈소스로 나온 안드로이드를 이용해서 커스터마이징해서 넣었을테니) 자체적인 앱스토어를 운영하는 경우도 있으니 앱의 설치는 문제가 되지 않을 것이다. 즉, 버그가 있는 상태에서 앱은 자유롭게 설치할 수 있으니 언제든지 문제가 될 수 있는 상황은 만들어진 것이며 값이 싸기 때문에 중국산 스마트TV를 구입해서 쓰는 사람들이 많을텐데 이런 상황에서는 당연히 문제가 될 것으로 보인다.


해커는 손쉽게 IoT 단말기들을 해킹할 수 있는 상황이다


그런데 이런 상황이 꼭 스마트TV에서만 있을 것이라고 생각하면 안된다. 스마트TV는 안에 구성을 어떻게 하느냐에 따라서 제조사의 의지에 따라 지속적인 버그 패치 및 OS, 앱 업데이트가 가능하다. 즉, 스마트폰이나 태블릿처럼 관리할 수 있는 여력이 있다는 애기다. 그런데 초소형 IoT 제품의 경우에는 버그 패치, OS 업데이트가 지속적으로 진행되기 어려운 환경이 많기 때문에 문제가 될 수 있다. 작은 디자인을 갖추기 위해 성능을 기능에 최소로 맞추고 업데이트에 대한 여력마저 없앤 상태로 만들어진 IoT 제품들이 생각보다 많다. 그리고 IoT라는 말에서 알 수 있듯 늘 인터넷, 통신 연결이 자유로운 제품인지라 외부 접속이 언제든지 일어날 수 있으며 취약점을 이용하여 얼마든지 해킹이 가능하다. 스마트TV는 부피가 있는 녀석인지라 이슈가 되었지만 IoT 단말기의 해킹 이슈는 지금도 지속적으로 일어나고 있으며 향후 4차산업의 핵심이 AI, IoT, 빅데이터라고 얘기하는데 그 한 축인 IoT에 대해 보안 이슈가 해결되지 않으면 이 부분은 지속적으로 문제를 일으켜서 사회적 비용을 더 많이 발생시킬 수도 있겠다는 생각이 든다. 실제로 작년에 미국에서 일어난 웹캠 해킹으로 인한 DNS 서비스 공격, 그리고 웹사이트 접속 장애도 바로 웹캠이라는 IoT 단말기를 해킹한 것이 핵심이었다는 것을 생각하면 결코 간과해서는 안된다는 생각이 든다.


기업 안에서 늘 싸우는 조직은 기획과 개발, 그리고 디자인 조직이다. 소비자의 구미를 떙기게 하는 성능과 디자인을 열심히 기획팀과 디자인팀이 만들면 개발팀은 기획한 기능 및 성능에 디자인을 맞춰서 도저히 만들 수 없다고 하소연을 한다. 개발을 직접 해봤던 경험에 비춰봤을 때에도 기술 자체가 그것을 해결할 수 없는데 그것을 억지로 밀어부치는 경우도 있기도 하다. 그런 경우에 어쩔 수 없이 기능이나 성능의 일부를 포기해서라도 디자인에 맞추는 경우가 있는데 그때 많이 포기하는 부분이 보안, 그리고 업데이트 등 당장의 기능 제공에 영향을 끼치지 않는 부분이라 생각하는 것을 포기하곤 한다. 당장에는 문제가 안될지 몰라도 그런 부분이 나중에 문제를 일으키고 기업을 곤란하게 만든다. 지금까지 그런 부분이 지속되었고 IoT 제품에는 더더욱 그런 상황이 많이 벌어지면서 지금의 문제가 일어나곤 하는 것이 아닌가 싶다. 이 얘기를 왜 하는가 하면 기업에서 IoT 제품을 만들 때 꼭 필요로 하는 요소는 보안과 업데이트는 필수가 되어야 한다는 것을 말하고 싶어서이다.


어찌되었던 스마트TV가 해킹에 이용되었다는 내용으로 얘기를 전개했지만 스마트TV 뿐만이 아니라 모든 IoT 제품이 비슷한 문제점을 갖고 있는 상황이기 때문에 이 부분에 대해 기업 뿐만이 아니라 소비자들도 생각하고 이에 대해서 지속적으로 이슈를 제기해 기업들의 제품 개발의 방향이 바뀌도록 노력해야 하지 않을까 하는 생각이 든다. 쓰다보니 좀 뻘소리가 된 듯 싶다(-.-).

반응형