스마트시티, 사이버 범죄의 온상 우려…“엔드포인트부터 막아라”

연결된 도시는 사이버 범죄자들이 극한의 피해를 일으킬 수 있는 취약점을 내포하고 있다. 기술적인 측면에서 피해는 PDoS(Permanent Denial-of-Service: 영구적 서비스 거부) 공격, 기기 해킹, 신원 도용, 건물 접근, 최초 대응 네트워크 또는 하수 처리 시설을 포함한 중요한 서비스 중단 등 다양하다. 인적 측면에서는 피해가 사생활 등 인권을 심각하게 침해할 수 있고 극단적인 경우 대량의 인명피해까지 초래할 수 있다.

섹티고의 IoT/임베디드 솔루션 부문 알랜 그라우 부사장이 스마트시티월드에 스마트시티는 ‘잘 연결된’ 도시라는 점 때문에 사이버 범죄자들의 좋은 활동 무대가 될 수 있다며 디바이스 단위에서 통합된 시스템까지 촘촘한 보안이 필요하다고 역설했다. 그의 기고문을 요약해 게재한다.

연결된 도시의 이점은 많다. 그러나 그 자체로서 가장 큰 취약점을 제시하는 것도 사실이다. 공격 대상 센서가 불과 한 개라도 범죄자는 이것을 통해 포인트를 수천 개 이상 확대해 전체 시스템을 불안정하게 만들 수 있다. 단일 장치에 적절한 보안이 없거나 디지털 인증서가 만료된 경우 전체 구조가 공격에 취약해지거나 운영 중단이 발생할 수 있다. 그 결과는 중요한 공공 및 사설 서비스에 치명적인 피해로 다가온다.

올바른 사이버 보안 대책이 마련되지 않으면, 스마트시티는 악의적인 침입과 범죄 행위에 대해 광범위하게 개방된다. 지난 2014년, 연구원들은 미시간 주에서 거의 100개의 무선 네트워크 신호등을 테스트로 해킹했다. 온라인에서 찾을 수 있는 기본 사용자 이름과 암호를 사용하여 연구원들은 비교적 쉽게 네트워크에 침투할 수 있었다. 악의적인 행위자들이 이것을 복제한다면 생명을 잃을 가능성마저 생긴다. 2018년 애틀랜타 시는 중요한 도시 시스템을 대상으로 한 랜섬웨어 공격에 의해 파괴되었고, 시청이 사용하는 400여 개의 소프트웨어 솔루션 중 적어도 3분의 1이 피해를 입었다.

인프라의 보안은 네트워크 전체의 각 노드와 엔드포인트를 안전하게 보호할 것을 요구한다. 이 기술은 만만치 않다. 시스템 운영자는 전체 스마트시티 네트워크를 전체적으로 파악하여 각 엔드포인트를 검증하고 신뢰할 수 있어야 한다. 각 엔드포인트가 합법적이고 어떤 단계에서 변조되지 않았는지 확인해야 한다. 이를 위해서는 각 장치에 강력한 보안 기능을 구축하고 자동화된 인증서 관리 시스템을 구현해야 한다. 인증서는 항상 최신 상태로 유지하고 운영 중단이나 일시 정지를 막아야 한다.

이는 상호 운용성 뿐만 아니라 네트워크의 모든 요소의 적절한 운영을 보장하고 시스템의 보안을 보호하는 데 매우 중요하다. 보안 표준은 기기가 통신하는 방법뿐만 아니라, 이 통신이 보안되는 방법, 기기가 합법적인 것으로 식별되는 방법, 그리고 이러한 기기에 의해 생성된 데이터의 무결성이 어떻게 보호되는지를 정의해야 한다.

개인정보 보호 및 보안 문제는 세 가지 단계를 통해 해결할 수 있다. 첫 번째는 네트워크 및 엔터프라이즈 수준의 인프라 시스템을 보호하는 것이다. 이렇게 하면 승인된 사용자 및 명령만 장치에 접속할 수 있으므로 사이버 범죄자들이 네트워크에 접근할 수 없다. 모든 시스템에 대해 최신 네트워크 보안 기기와 인증서 기반 인증을 사용하면 게이트에서 네트워크 인프라에 대한 공격을 중지할 수 있다.

둘째, 빌딩제어시스템, 교통관리시스템 등 스마트시티 네트워크의 구조를 이루는 다양한 연결기기들을 적절하게 보호하는 것이 스마트시티의 프라이버시 및 보안 문제를 해결하는 중심이다. 각 장치에는 해커의 표적이 되지 않도록 보안이 내장되어 있어야 한다. 사이버 범죄자들이 타깃으로 삼는 IoT 기기는 제조 시점으로부터 전문 임베디드 보안 솔루션을 필요로 하며, 그 후 변화하는 위협에 대응하기 위해 기기 수명 주기 전체에 걸쳐 업데이트된다.

셋째, 개인정보 보호와 보안에 관한 한 시스템 설계자는 도시 데이터, 직원, 웹 사이트 및 서비스를 운영 상태로 유지하는 기존 IT 시스템에 계속 초점을 맞추는 것이 중요하다. 미래지향적인 스마트시티는 주변을 감시하고 보호하는 동시에 공격을 받을 수 있는 내부 시스템에 대한 가시성을 확보한다.

스마트 기기 및 인프라 제조업체들은 보다 적합한 보안 정책, 절차 및 프로토콜을 채택해야 한다. 그러지 않으면 스마트시티 내의 보안 및 개인정보 보호 사고는 더 빈번하게 발생할 수밖에 없다. 사이버 범죄자들이 수시로 이들 기기에 접속해 악성코드를 배포하고 영업을 방해하며 생명과 재산을 위협하는 등 인증서와 기기 인증을 소홀히 하는 스마트시티는 오래가지 못한다.