구독상품안내
#오전 7시. 기상 알람에 맞춰 자동으로 커튼이 걷히고 그 사이로 햇볕이 쏟아진다. 그런데 오늘따라 왠지 몸이 개운치 않다. 거울 속에 나타난 개인 맞춤형 의료 인공지능(AI)이 나의 최근 영양 상태와 운동 부족 데이터를 들이밀며 경고 메시지를 띄웠다. 오늘도 아침부터 잔소리군. 현관으로 나가보니 스마트팜에서 막 딴 과일들이 놓여 있다. 그럼 그렇지. 비타민C가 부족하다는 의료 AI의 소견에 따라 맞춤형 아침식사가 배달된 것이다.
출근 준비를 마치고 차에 시동을 거니 오늘 회사에서 열리는 행사로 주차장이 만석이 될 것이라는 알람이 뜬다. 차는 집에 두고 무인 자율주행버스를 타기로 마음을 바꿨다.
완벽한 통신 기술은 없다
2021년 말 입주를 시작하는 부산과 세종 ‘스마트시티’의 모습은 이렇지 않을까. 국토교통부가 ‘스마트시티 국가 시범도시’로 선정한 부산시(부산 에코델타시티)와 세종시(세종 5-1생활권)가 기본구상을 발표하며 윤곽을 드러냈다.
스마트시티는 교통과 운송 시스템을 비롯해 발전소, 급수 시스템과 폐기물 관리, 법 집행, 학교, 도서관, 병원까지 모든 서비스가 첨단 정보통신기술(ICT)을 기반으로 돌아간다. 개인의 삶 전체에 정보통신기술이 녹아 있는 도시인 셈이다. 그런데 만약 스마트시티가 해커의 공격을 당한다면 어떻게 될까.
스마트시티의 모범 사례로 꼽히는 네덜란드 암스테르담에서는 2014년에 실험 하나가 진행됐다. 네덜란드 온라인 미디어 ‘드 코레스펀던트’의 기자인 모리츠 마틴이 해커인 바우터 슬롯붐과 함께 몇몇 카페를 방문해 공용 와이파이를 해킹한 것이다.
이 실험에 동원된 도구는 노트북 한 대와 휴대전화 크기의 검은색 단말기 하나가 전부였다. 해커는 공용 와이파이에 접속한 뒤 해킹을 통해 카페에 있는 사람들이 자신의 단말기를 거쳐 와이파이를 사용하도록 만들었다.
그러자 해커의 노트북에는 카페에 있는 사람들의 온갖 정보가 나타나기 시작했다. 이름부터 직업, 취미, 최근 방문지, 그리고 비밀번호까지 개인 정보들이 홍수처럼 밀려왔다. 단 20분 만에 벌어진 일이었다.
통신 기술에는 항상 공격의 위험이 도사리고 있다. 그래서 방어 기술이 필요하다. 김용대 KAIST 전기및전자공학부 교수는 “이론적으로 100% 해킹이 불가능한 통신기술은 없다”며 “LTE(4G)와 5G는 물론이고, 안전하다고 알려진 블록체인 기술도 마찬가지”라고 말했다.
도시의 밑바닥부터 통신기술을 기반으로 설계된 스마트시티의 아킬레스건은 결국 보안이다. 김 교수는 “교통, 의료, 에너지 등 이미 개별 분야에 존재하는 통신 보안 이슈들이 스마트시티라는 한 공간에 모이면 지금까지 생각하지 못했던 다양한 방식의 해킹이 발생할 수 있다”고 경고했다.
자동차┃중앙 네트워크 정보 가로채
현재 대다수 자동차의 내부 네트워크는 1991년에 도입된 ‘CAN(Controller Area Network)’이라는 통신 방식을 사용하고 있다. CAN은 엔진, 제동장치, 몸체, 오디오 등 자동차 각 부분에서 발생하는 정보가 중앙 네트워크로 모이고, 그 정보를 다른 부분으로 전달하는 방식으로 통신이 이뤄진다.
예를 들어, 차문에 있는 컴퓨터 제어장치가 차문이 열려있다는 신호를 중앙 네트워크로 보내면 엔진과 제동장치, 오디오 등으로 전달되고, 각 부분은 그에 대응해 알람을 울리거나 시동이 안 걸리는 등 기능을 수행한다. 차문이 여러 회선을 통해 다른 부분들과 개별적으로 연결될 필요 없이 중앙 네트워크하고만 연결되면 되기 때문에, 회선의 수가 대폭 줄어 자동차 무게를 줄일 수 있다.
그런데 이렇게 효율적인 설계가 통신 공격이라는 관점에서는 약점이 된다. 정보흥 한국전자통신연구원(ETRI) 정보보호연구본부 책임연구원은 “CAN 통신은 마치 개별 기술들이 탁자에 모여 앉아 자신의 상태를 공개적으로 떠드는 것과 같은 형국”이라며 “해커 입장에서는 탁자에서 오가는 정보만 가로채면 자동차 전체를 파악하고 조작도 할 수 있다”고 설명했다.
실제로 2010년에는 CAN 통신이 쉽게 해킹될 수 있다는 사실이 처음 입증되기도 했다. 당시 미국 사우스캐롤라이나대와 럿거스대 연구팀은 타이어의 압력 데이터를 가로채 차량이 움직이는지 파악하고, 그 데이터를 조작해 자동차가 정상 주행이 불가능하게 만들었다.
최근 출시되는 자동차는 각종 센서로 주변 차량과 도로 상황을 감지하는 기술을 도입하면서 처리하는 데이터량이 더욱 방대해졌다. 특히 스마트시티에서 운행될 자율주행차는 사고 위험을 막기 위해 차량 내부와 외부의 정보를 모두 정확히, 그것도 실시간으로 파악해야 한다.
정 책임연구원은 “차량 내외부에서 발생하는 대용량의 데이터를 전송, 수신하기 위해 CAN 외에 ‘이더넷(ethernet)’이라는 네트워크 기술이 추가로 도입됐다”면서도 “이더넷 통신에도 취약점이 있고, CAN과 이더넷 두 통신 방식을 결합했을 때 예상치 못한 또 다른 새로운 보안 문제가 나타날 수 있다”고 말했다.
의료기기┃수m 거리에서 신호 감지돼
올해 3월 미국의 거대 의료기기 회사인 메드트로닉은 자사의 인공 심장박동기가 해킹의 위험이 있음을 공개했다. 인공 심장박동기는 심박동 수가 불규칙해지거나 멈췄을 때 심장에 전기 자극을 줘 심박동수를 다시 정상으로 돌리는 역할을 한다.
인공 심장박동기에서 만드는 전기 자극은 수m 떨어진 거리에서도 감지할 수 있는데, 이 신호는 암호화되지 않는다. 악의를 품은 해커가 이 신호를 이용해 인공 심장박동기를 해킹하고 조작도 가능하다는 사실이 제품 인증 과정에서 드러난 것이다. 메드트로닉은 “미국 퍼듀대 연구팀과 보안 방책을 마련하겠다”고 밝혔다.
메드트로닉 외에도 최근 인슐린 펌프, 호흡 치료기 등 의료기기들이 해커의 공격에 노출된 사실이 여럿 드러났다. 시레야스 센 미국 퍼듀대 전기및컴퓨터공학부 교수는 “의료기기는 신호를 암호화하는 것만으로는 충분하지 않다”며 “인체 내 의료기기에서 나오는 모든 통신 신호를 차단하는 장치를 손목에 착용하는 것이 한 가지 방법”이라고 말했다. 센 교수는 이런 신호 차단 장치를 만들어 올해 3월 11일 국제학술지 ‘사이언티픽 리포트’에 발표했다. doi: 10.1038/s41598-018-38303-x
드론┃특정 주파수로 정보 교란
통신 기술만 해킹의 대상이 되는 것은 아니다. 김 교수는 “해킹이 통신을 이용해 공격하는 것만 가리키는 것은 아니다”라며 “빛이나 소리와 같은 물리적인 요소로도 기계나 시스템을 망가뜨릴 수 있다”고 말했다.
김 교수는 한 예로 소리를 이용해 드론을 추락시킨 영상을 보여줬다. 영상에서 정상적으로 비행하던 드론은 작은 소리가 들리자 갑자기 땅으로 곤두박질쳤다. 드론의 기울기를 감지하는 센서인 자이로스코프가 망가진 것이다.
김 교수는 “특정 주파수의 음향을 쏘면 자이로스코프에 공진 현상이 나타나면서 기울기 정보가 교란된다”며 “이 경우 잘못된 정보가 엔진에 전달되고, 이로 인해 엔진의 출력이 최저와 최대를 오르내렸고 결국 드론이 추락했다”고 설명했다.
스마트시티의 해킹 위험을 낮추기 위해서는 어떻게 해야 할까. 김 교수는 스마트시티에 반입되는 모든 제품에 대해 보안성 검사를 하는 것도 한 가지 방법이라고 제안했다. 가령 미국식품의약국(FDA)은 의료기기 승인 허가서를 제출할 때 보안 취약점을 적어내게 하고 있다. 여기에는 어떤 공격이 우려되고, 어떤 취약점이 있는지, 이 때 어떻게 막을 수 있는지에 관한 내용이 담겨야 한다.
김 교수는 “제품의 모든 취약점을 해결하지는 못해도 문제가 발생했을 때 원인을 빠르게 파악하고 대처해야 한다”며 “제품이나 시스템 설계 단계부터 보안 기술을 포함시킬 필요가 있다”고 강조했다.
