가. 국가 및 사회적 차원
해커집단은 해킹을 통해 전력망을 과부하 시켜 국가기반시설인 전력 시설을 마비시키고, 가스 설비를 조작하여 가스관을 폭파시키고, 신호 체계에 혼선을 일으켜 교통마비를 일으키고, 국가통신망을 교란시켜 사 회적 혼란과 불안을 조성하고, 건물관리시스템에 침입하여 이를 이용해 서 건물에 불법침투하기도 하고, 심지어 대중매체를 조작하여 대중을 선 동하는 등 국가 및 사회에 악의적인 피해를 주고 있다. 최근의 사물인터 넷 시대에는 이러한 해킹을 통한 국가 및 사회에 대한 공격이 더욱 심해 지고 있는 상황이다. 이러한 해킹은 국가 차원에서 국가안보를 위협하는 행위이지만 이를 방지하기에는 사실 사물인터넷(IoT)의 특성으로 인해 상당한 어려움이 있다. IoT의 확산에 따른 국가 기반시설과 사회 주요시 설 등에 대한 접근성이 더욱 개방적으로 변화함으로써 이를 방어한다는 것은 매우 힘들 것으로 보인다.
실제로 많은 기업들은 국가의 주요 기간망 서비스를 효과적으로 운용 하기 위해서 이에 대한 관리시스템을 보다 효율적으로 구축하고자 한다.
이를 위해 IoT를 통한 효율성 제고를 목표로 IoT 확산전략을 채택하여 추진하고 있다. 그런데 이러한 노력이 역으로 중대한 위협으로 작용할 수 있는 것이다. 이와 같은 IoT를 이용한 관리시스템이 해킹 당했을 때 는 그 피해는 상상하기 어려울 정도로 심대할 것임에 틀림없다. 브라질 의 경우 국제공항의 효율적 운용을 위해 미국 기업인 GE의 IoT 기반 관 제시스템을 구축하였지만 만약의 경우 이 시스템이 해킹된다면 공항을
이용하는 항공기 운항을 마비시키는 것은 물론 항공기를 추락시킬 수도 있는 것이다. 이 경우 막대한 인명 피해뿐만 아니라 엄청난 경제적 손실 을 입을 것이고 이로 인한 사회적 충격은 금전적으로 계산할 수 없을 것 이다. 이러한 GE의 시스템들이 전 세계적으로 확산될 경우 GE의 통합 산업인터넷시스템이 해킹되면 단순히 한 국가의 문제가 아니라 국제적 문제로 비화될 것이다. 특히 단순한 시스템에 대한 피해와 그에 따른 직 접적인 피해에 그치지 않고 시스템 자체가 장악되어 통제불능의 상황에 빠진다면 그에 따른 피해는 엄청날 것으로 보인다.90
국가 및 사회의 기반시설에 대한 해킹에 주로 사용되는 스턱스넷, Night Dragon, Duqu, Nitro 등의 바이러스는 사물인터넷 시대에 그 위험성이 더욱 높아지고 있다. 국가 기간망에 대한 위협이 IoT로 인해 더욱 커졌으며 만일 스턱스넷 같은 바이러스가 국가 기간망 해킹에 사용 된다면 이는 국가 기간망을 순식간에 마비시킬 뿐만 아니라 국가 기간망 자체를 완전히 파괴시킬 수도 있는 것이다. 이 경우 단기간 내에 이러한 시설들이 복구되기 어렵기 때문에 이로 인한 국가적 피해는 막대할 것이 다. 이를 방지하기 위해 포괄적인 보안대책들이 요구되지만 현실적으로 완벽한 대비를 하기에는 역부족인 상황이다.
한편 산업정보망에 대한 해킹의 경우도 사물인터넷 시대에 급격히 증 가하고 있다. 해킹 기술은 비약적으로 발전하고 있는데 비해 이를 방어 하기 위한 기술 개발은 뒤처져 있는 것이 현실이다. 국제적으로나 국내 적으로 해킹에 대한 위험성은 널리 알려져 있지만 실제로 이에 대비하는
90 이상호·조윤영, “사물인터넷시대_국가_사이버안보_강화_방안_연구,” 『정치정보연구』 제18권 제2호 (2015), pp. 16-18.
노력은 이에 미치지 못하고 있는 실정이다. 국내의 경우 기술과 예산에 서 경쟁력이 뒤떨어져 있고 영세적인 경영 상태를 벗어나지 못하고 있는 보안업체들의 상황은 물론이고 실제 피해 대상인 기업들의 인식이나 지 원도 한참 미치지 못하고 있다. 기업들은 과거에 비해서는 보다 적극적 으로 보안인식을 확산시키고 보안시설들을 구축하려하고 있으나 여전히 재정적 이유와 실제로 피해를 겪을 가능성 등으로 인해 소극적인 자세를 벗어나지 못하고 있다. 보안업체들도 국내시장의 협소함을 이유로 해킹 기술의 발전에 따른 고도의 기술력을 바탕으로 하는 보안설비의 설계 및 제작을 하지 못하고 있는 실정이다. 이로 인해 국내의 보안서비스 시장 은 해외에 비해 열악한 상태를 벗어나지 못하고 있고 기술 개발의 후진 성을 보이는 악순환을 낳고 있다.
최근에는 북한도 한국에 대한 대남심리전을 IoT를 활용하여 전개할 가능성이 매우 높다. 북한은 해킹을 통해 웨어러블 디바이스 IP 주소 정 보를 입수하여 그 위치정보를 확보할 수 있다. 이 경우 북한은 위치 주변 에 설치된 IoT를 다시 해킹하여 허위사실을 전파하는 대남심리전을 전 개할 수 있는 것이다. 그런데 문제는 이러한 북한의 IoT 해킹을 통한 대 남심리전을 막기 어렵다는 것이다. 왜냐하면 이를 방어하기 위해서는 IoT의 네트워크를 차단해야 하는데 기술적으로 지수적 수준으로 발급된 IoT의 IP 주소 전부를 차단하는 것은 불가능하다. 북한의 해킹이 심대한 위험을 초래할 것이라는 것을 알고 있지만 사물인터넷 시대에 물리적으 로 인터넷을 차단하는 등의 국가 차원의 조치를 내리는 것은 시간이 갈 수록 더욱 어려워질 것이 분명하다. 결국 국가 및 사회적 차원에서 발생 하고 있는 IoT를 통한 해킹 위협은 국가 기간망 파괴, 북한의 대남심리 전 강화 등으로 표출될 것이며 이에 대응하는 국가 차원의 기술적, 정책
Ⅳ. 해킹 주체, 기법, 대상별 분석 국제사회의 해킹 변화 추세 및 대응방안
적 대비는 더욱 더 어려워질 전망이다.
나. 개인 차원
사물인터넷 시대에는 특히 개인에 대한 해킹 피해가 두드러지고 그 피 해 정도도 매우 클 것으로 보인다. 모든 물체들에 대한 관리가 당사자에 국한되어야만 하지만 실제로 당사자 이외의 타인이 이러한 사물에 대한 통제와 관리를 임의로 조작하게 된다면 그로 인한 피해는 막대할 것이 다. 비록 IoT가 사람들에게 주는 편리함이 엄청나다고 할지라도 해킹에 의해 이러한 편리함이 일순간 엄청난 고통과 피해로 바뀐다면 이는 전혀 간과할 일이 아닌 것이다. 이를 방지하기 위한 개인에 대한 보호, 그리고 피해를 방지할 수 있는 보안기술과 정책 등에 대한 신중한 검토가 요구 된다. 사물인터넷 시대를 맞이하면서 이에 대한 관심과 논의는 필수적인 것이다.
오늘날 우리는 집안이나 건물 등에 수많은 센서들이 설치되어 있는 상 황에서 살고 있다. 대표적으로 CCTV를 비롯해 다양한 센서들이 우리와 함께 생활하고 있으며 앞으로 사물인터넷 시대에는 우리 사회의 거의 모 든 곳에 각종의 센서들이 설치되어 있을 것이다. 이러한 센서들은 해커 들이 해킹 대상으로 삼기 매우 좋은 것으로 이를 통해 개인의 여러 가지 식습관이나 생활양식 등을 엿볼 수 있고 개인 정보를 탈취할 수 있다. 그 리고 개인 정보가 보관되어 있는 클라우드를 해킹한다면 여기에 보관된 개인의 금융 정보를 비롯한 모든 신상이 탈취될 수 있다. 이러한 접근이 IoT 즉 센서에 대한 해킹을 통해 가능하며 이는 사회에 커다란 혼란을 가져올 것이다. 개인 정보에 대한 탈취는 반드시 악의적인 해커에 의해
서만 시도되는 것이 아니다. 예를 들어 정부나 기업도 개인 정보에 접근 할 수 있다는 유혹을 뿌리치기 어려울 것이다. 이 경우 정부나 기업은 합 법적 또는 불법적으로 획득한 개인 정보를 무분별하게 사용할 가능성이 있다. 이러한 상황은 사물인터넷 시대의 인터넷 사용자들에게 정보유출 에 대한 불신감을 증폭시킬 것이고, 사물인터넷 시대는 종말을 고할 수 도 있다. 정부와 기업은 빅데이터의 요구로 인해 개인 정보 수집을 비롯 해 대량의 우수한 정보에 대한 수집에 집중할 수 있고, 이러한 정부와 기 업의 정보 수집 행위는 개인의 권리에 대한 심대한 침해를 낳을 것이다.
그리고 개인은 이러한 정부나 기업의 정보 수집에 대해 기술적으로 대응 할 수 없기 때문에 결국 커다란 사회문제로 비화될 가능성이 매우 크다.
한편 개인에 대한 해킹 피해는 한층 개인적인 수준에서도 발생할 수 있는데 그 피해는 극단적일 수 있다. 예를 들어 항상 심박조절 장치를 사 용해야 하는 심장병환자의 경우 IoT에 대한 해킹은 이러한 의료기기에 대한 접근도 가능하게 하기 때문에 심박조절 장치의 고의적 오작동에 의 한 피해도 가능하다. 사물인터넷 시대에 무선으로 연결된 각종 의료기기 는 해커의 공격대상이 될 수 있다. 이 경우에는 만약 의료기기 사용자가 국가안보상 주요인사일 경우 적대국가나 테러집단을 포함하는 세력들에 의해 요인암살과 같은 테러행위로 연결될 수 있다. 사실상 저격 등의 테 러행위보다 IoT 해킹에 의한 암살 시도는 훨씬 수월할 수 있고, 해커에 대한 추적도 어렵다. 나아가 이러한 해킹은 의료기기에 국한되는 것이 아니라 집이나 사무실, 또는 원격조정이 가능한 자동차 등으로 확대될 수 있으며 결국 안전하다고 생각하는 곳에서 전혀 무방비 상태에서 위협