디도스(DDoS) 공격 도구로 돌변한 스마트홈 기기들
March 16, 2017

2016년 10월 21일, 미국의 도메인 호스팅 회사 'Dyn'을 대상으로 발생했던 DDoS 공격 데이터를 시각화한 애니메이션. CC BY-SA by Joey Devilla

오랜만의 여가 시간, 편안히 앉아 텔레비전을 시청한다고 생각해보자.

갑작스레 채널이 저절로 바뀌더니 다른 채널로 바꿀 수 없게 되고, 채널을 바꾸려면 돈을 입금하라는 메시지가 나온다면 어떨까? 잘 작동되는 줄 알았던 냉장고의 문을 열었더니, 전원은 꺼져있고 안의 음식이 상해있다면? 보안을 위해 설치했던 카메라가 나를 감시하면서 동선을 파악하고 있다면? 긴 하루가 끝나고 집에 돌아오는 길, 현관 비밀번호가 나도 모르는 새 바뀌어있다면?

영화 속에서나 볼법한 으스스한 얘기라고 생각한다면 오산이다. 집에서 편리하게 사용하는 스마트홈 기기들이 해킹되면 현실 속에서도 충분히 일어날 수 있는 시나리오다. 텔레비전, 냉장고, 에어컨 등 다양한 가전제품들은 점점 더 인터넷과 연결되고, 그만큼 더 해킹의 대상이 될 가능성이 높아지고 있다. 다양한 피해 사례들도 증가하는 추세다.

스마트홈 해킹의 사례들 가운데에는 부모가 다른 장소에서 아이들을 볼 수 있는 모니터링 시스템이 해킹된 경우도 있었다. 모니터링 시스템이 거꾸로 감시 시스템이 된 경우. 미국 뉴욕에 거주하던 이 부모는 잘 이용하던 유아 모니터링 시스템에서 이상한 점을 발견했다. 갑자기 모르는 누군가의 목소리가 들렸고, 아이에게 말을 거는 것이었다. 소리를 듣고 놀라 아이의 방에 들어가니, 그 목소리는 부모의 인기척을 느꼈는지 "누가 방에 왔다"고까지 이야기했다. 이 사례 말고도 미국, 영국 등 여러 나라의 가정용 모니터링 시스템에서 이상한 음악이 흘러나오거나 "당신을 지켜보고 있다"는 식의 무시무시한 말을  들었다는 사례가 속출했다.

2016년 10월 21일에는 미국에서 트위터, 넷플릭스, 뉴욕타임스, 스포티파이 등 다양한 서비스의 웹사이트가 몇시간씩 마비되는 사례가 있었다. 이 사건의 전개 과정에서 해커는 수많은 IoT 디바이스를 장악해 인터넷 도메인 호스팅 업체인 'Dyn'이 호스팅하는 여러 웹사이트들을 마비시키는 디도스(DDoS, 분산 서비스 거부) 공격에 이용했다. 물론, IoT 기기 주인의 동의를 구하지 않고 무단으로 진행한 일이다. 이런 알려진 사례 이외에도, 랜섬웨어 공격(사용자의 동의 없이 설치되어 협박을 하는 공격)이나 스토킹 등 스마트홈 가전기기의 해킹이 가져올 수 있는 피해는 다양하다.

dyn ddos 디도스

2016년 10월 21일, 공격당한 도메인 호스팅 업체 'Dyn'의 홈페이지 Source: New York Times

스마트 가전 이용자가 이런 위협을  최소화하기 위해서 실천할 수 있는 방책은 여러가지가 있다. 그 중 하나는 스마트 가전에 사용하는 계정 정보와 비밀번호를 주기적으로 바꾸는 것. 비밀번호의 중요성은 이미 많이들 알고 있겠지만, 그래도 현실에서 가장 지켜지지 않는 부분 가운데 하나다. 비밀번호는 대문자, 소문자, 숫자, 특수기호 등을 섞어 최대한 복잡하게 만드는 것이 좋고, 주기적으로 바꿔 해커의 접근 가능성을 최소화해야 한다.

또한, 스마트 가전을 연결하는 무선 인터넷은 보안이 적용된 네트워크(혹은 공유기)를 사용해야 한다. 해커들은 공용 와이파이를 이용해 악성코드를 배포하거나 디바이스에 접근하는 경우가 많다. 이런 피해를 방지하기 위해서는 암호 없이 아무나 접근 가능한  무선 인터넷을 이용해 스마트 가전을 사용하는 것은 피하는 것이 좋다.

그리고, 가전제품 제조사가 제공하는 소프트웨어 업데이트를 잊지 않고 적용하는 것을 추천한다. 제조사들은 소프트웨어 업데이트를 통해 취약점을 수정하고 보안을 더욱 강화시킨다. 사용자들은 이를 기기에 적용해 새로이 발견되는 보안 취약점과 해킹 기법에 대처해야만 한다.

조 성
샌프란시스코의 모바일 보안 전문 스타트업 'SEWORKS'에서 마케팅 총괄(Head of Marketing)로 일한다. '티파니 앤 코(Tiffany & Co.)'에서 글로벌 마케팅을 담당했고, 뉴욕 대학교(New York University)에서 국제 정치와 비즈니스(International Politics and Business)로 석사 학위를 받았다. 글로벌 비즈니스에 관심과 열정을 갖고 있다. 'SEWORKS'에서 일하며 느낀 보안의 중요성을 널리 알려, 전 세계 앱 개발자들이 해킹 공격으로부터 안전해지기를 바라고 있다.