지금까지 사물인터넷의 주요 기술과 기술 동향, 국내외 관련 정책 및 제도, 다양한 적용 사례에 대해 살펴보았다. 사물인터넷이 인간의 삶을 풍요롭게 만드는 기술인 것은 분명하다. 그러나 이 기술이 순기능만 가지 고 있지는 않기 때문에 이 기술의 융합 가속화를 위해서 순기능은 최대화 하고 역기능은 보완해야 한다. 본 절은 사물인터넷이 가지는 역기능을 살 펴봄으로써 사회복지시설과 복지서비스에 이 기술을 적용할 때, 역기능 의 발생 가능성을 최소화하는 방안도 함께 마련되어야 한다는 것을 인식 시키려는 것이다. 본 절에서 분석한 사물인터넷의 위험 요소를 제거 혹은 최소화하기 위한 개선 방안은 4장에 제시하였다.
1. 보안 취약성
사물인터넷은 이기종 디바이스 간, 이종 네트워크 간, 사물대 사람 (M2P), 사물대 사물(M2M) 통신을 가능하게 한다. 최근 피싱(phishing) 이나 각종 스파이웨어(spyware) 등 다양한 위험 형태들이 IoT 기기들을 위협하고 있다고 한다31)(표 2-15 참조). 스마트폰, 태블릿, 웨어러블 등 개인용 컴퓨팅 단말의 보급 확대는 개인을 대상으로 사물인터넷 서비스 의 대중화를 더욱 앞당길 것으로 기대하고 있다(한국인터넷진흥원, 2014). 따라서 사물인터넷 환경은 기존 집단․조직 수준에서의 사이버 세 계 위험이 개인의 생명도 위협할 수 있는 개인 수준으로까지 확대될 가능 성을 내포한다.
31) http://bridgenews.tistory.com에서 2016. 4. 25. 인출.
〈표 2-15〉 사물인터넷 구성 요소별 보안 위협
구분 보안위협
디바이스 분실/도난, 물리적 파괴, 웜․바이러스 감염, 비인가 접근, 정보 유출, 데이 터 위․변조 등
네트워크 도청, 정보 유출, 데이터 위․변조, 서비스 거부 등
서비스 정보 유통, 데이터 위․변조, 서비스 거부, 비인가 접근, 웜․바이러스 감염 등 자료: 김범수 등(2014). 스마트기기 보급 확대에 따른 개인정보보호방안 연구-사물인터넷 환경을
중심으로. p.106 재인용.
국내 통신사와 글로벌 제조사는 기존 의료기관과 연계하여 예방 중심 의 맞춤형 의료서비스가 가능한 헬스케어 시장으로의 사업 영역을 확대 하고 있다. 대표적으로 센서, 유․무선 네트워킹 등의 융합 기술을 활용하 여 간단한 진료에서부터 질병을 예방․진단․치료․사후 관리할 수 있는 서 비스가 가능한, 소위 스마트의료는 사물인터넷의 대표적인 서비스 분야 로 볼 수 있다. 그러나 전자의료기기와 유무선 네트워크가 결합된 스마 트 의료 환경에서는 기존의 TCP/IP기반 보안 위협과 의료 정보 도청/
위․변조 공격을 받을 가능성이 존재한다. 예컨대, 만성 질환자의 생체 신 호 정보를 중간에 해킹해 위․변조하여 병원시스템에 전송하게 되면, 이 정보를 토대로 처방된 약물 투여량을 과다 처방하게 되어 환자의 생명에 심각한 위험을 주거나 사망까지도 이르게 할 수 있다는 것이다. 그만큼 사물인터넷 서비스로 말미암아 보안 위협도 크게 증가하고 있다고 봐야 할 것이다.
한편, 스마트 홈은 컴퓨팅 능력을 내장한 가전제품들과 센서 등이 이 종의 유무선 네트워크 및 프로토콜로 연결됨으로 인해 기존 가전기기와 달리 다양한 보안 위협에 노출되어 있다. 미국 보안서비스회사인 프루프 포인트(Proofpoint)사의 조사에 의하면, 스마트 가전기기와 같은 IoT
사물 대상들이 인터넷을 통해 해킹당한 후 사이버공격에 이용되고 있음 을 밝혀냈다(한국정보화진흥원, 2015). 예를 들어 인터넷 기능이 내장된 로봇청소기는 임베디드 OS를 사용하여 인공지능 프로그램에 의해 자가 학습이 이루어지고, 개선된 청소 기능과 카메라를 통한 장애물 인지와 처리를 구현한다. 그러나 인터넷 기능의 내장으로 해킹의 위협이 있으 며, 해킹 시 로봇청소기에 내장된 카메라를 통해, 또는 공격자가 의도한 위치로 로봇청소기를 이동시켜 사용자의 집을 감시할 수도 있다(미래창 조과학부, 2014). 이러한 해킹과 관련하여 가장 큰 문제는 일반 소비자 가 가전 영역에서의 해킹 공격을 확인할 방법이 없다는 것이다(인터넷진 흥원, 2014).
[그림 2-21]은 기존의 디바이스나 네트워크, 플랫폼/서비스의 보안 체 계가 사물인터넷 환경으로 변화되면서 발생 가능한 보안 위험성에 대해 보여 주고 있다. 기존에 개별적으로 네트워크에 접속되지 않고 사용되던 폐쇄형 디바이스들은 사물인터넷 이후 디바이스 간 통신이 가능해 지면 서 암호화, 또는 인증 등 보안을 적용할 디바이스의 수를 증가시키고 있 다. 한편, 사물인터넷 환경은 지그비, 와이파이, 블루투스 등 다른 형식의 무선 네트워크 간에 단절 없이 상호 연동되는 특성이 있는데, 이처럼 이 종의 네트워크 통신은 일정한 보안 수준을 유지하기가 어렵게 된다. 결 국, 관리해야 할 디바이스가 많아지는 만큼 이기종 기기의 백신 업데이 트, 보안패치, 통신 내용 모니터링 등 디바이스 관리의 취약점도 증가하 게 된다.
〔그림 2-21〕 IoT 적용에 따른 보안 위협
출처: 미래창조과학부(2014). 사물인터넷(IoT) 정보보호 로드맵. p.6.
2015년 9월 미국 연방수사국은 사물인터넷 기기 사용이 증가함에 따 라 사이버 보안 위협이 높아지고 있다고 경고하면서, 특히 사물인터넷 기 기들 가운데 비밀번호가 변경되지 않았거나, 공개 와이파이(wifi)를 통해 연결된 기기들이 다른 시스템에 대한 원격 공격, 악성/스팸 메일 발송, 개 인 정보 탈취, 신체에 대한 안전 위협 등 사이버 범죄에 악용될 위험이 발 생할 수 있음을 지적하였다. 이에 따라 연방수사국은 아래와 같은 내용을 제시하였다.32)
- 사물인터넷 기기들을 자체 보호된 네트워크에 격리 - 라우터에서 UPnp 비활성화
- 의도한 목적에 적합한 사물인터넷 기기인지를 고려
- 보안이 된 기기들을 제공한다는 기록을 보유한 제조사의 제품 구매 - 가능한 한 사물인터넷 기기의 보안 패치를 최신 버전으로 유지 - 사물인터넷 기기 및 가전기기들의 기능을 숙지하고, 디바이스가 초
기 비밀번호 또는 개방형 와이파이(wifi) 연결로 설정되어 있다면, 비밀번호를 바꾸고 보호되는 네트워크에서만 작동되도록 설정 변경 - 무선 네트워크에 사물인터넷 기기를 연결하고 원격으로 접속할 때는
현재까지의 우수 사례를 따를 것
- 환자들은 가정에서 사용하도록 처방된 모든 의료기기의 기능을 사전 에 설명 받고 원격조종이나 데이터 송수신이 가능한 경우 악성 행위 의 목표가 될 수 있는지 숙지
- 제조사가 초기에 설정한 기기의 비밀번호들은 보안성이 높은 비밀번 호로 변경
아직까지 사물인터넷과 관련되어 대규모 사이버공격으로 인한 피해 사 례는 없지만, 사물인터넷과 관련된 보안 문제는 해킹 공격의 가상 시나리 오를 통해 업계의 경각심이 높아지고 있는 추세이다(한국인터넷진흥원, 2014).
32) http://www.csoonline.com에서 2016. 4. 22. 인출.
2. 개인정보의 광범위한 수집 및 사생활 침해
김원주33)의 사물인터넷 세상에서의 일상에 대한 시나리오를 소개한 다. 알람 소리에 잠을 깨면 손목시계는 심장박동과 활동성을 체크해 부엌 에 있는 커피머신으로 사용자가 기상했다는 정보를 전송하고, 커피머신 이 향긋한 커피를 내려 받는 동안 토스트 오븐이 식빵을 굽기 시작하며, TV는 출근 전에 즐겨보는 프로그램을 자동으로 켠다. 이런 시나리오는 이제 충분히 가능한 현실로 다가오고 있다. 이 가상의 시나리오에서 어떤 종류의 개인 정보가 수집되는지를 가정해 보면, 우선 손목시계는 심박수 와 혈압을 일정한 시간 간격으로 수집하게 되고, 일어나서 움직이는 걸음 걸이 수와 이동 거리를 수집한다. 커피머신에서 내려 받은 커피는 센서가 부착된 머그잔을 통해 아침에 마신 커피량 정보를 수집하여 칼로리를 계 산하고, 오븐에서 토스트 조각을 체크해 칼로리로 환산되어 아침 식사량 과 섭취한 칼로리 정보를 디바이스에서 관리한다. 디바이스는 아침 활동 량을 체크해, 오늘의 활동 목표량과 비교 후 문자로 알려 준다. 이처럼 간 단한 몇 가지 행위만 가지고도 개인의 가정 내 위치 정보, 생체 정보, 활 동 정보가 수집되는 것을 알 수 있다. 즉, 사물인터넷 환경은 개인의 사소 한 정보까지도 수집되는 것을 알 수 있다. 따라서 사물인터넷은 인간에게 편리함을 주는 도구이기도 하지만, 한편으로는 위협적인 도구로 다가오 고 있다. 김범수(2014) 등 사물인터넷을 연구하는 많은 전문가들이 꼽고 있는 사물인터넷의 위험 요인 중에는 개인 정보 유출로 인한 사생활 침해 를 들고 있다.
스마트홈, 스마트카, 스마트헬스케어 등 다양한 분야에서 사물인터넷 서비스가 적용되면서 개인의 민감한 정보들은 본인이 인지하지 못하는
33) http://www.worldweb.co.kr/articles에서 2016. 4. 27. 인출.
상태에서 정보의 수집을 더욱 용이하게 만들고 있다. 예컨대, 사용자의 스마트폰으로 맞춤형 정보와 서비스를 제공하는 데 사용되는 근거리 위 치인식기술인 비콘(Beacon)서비스는 최고 50m 정도까지 신호를 감지 할 수 있어서 디바이스 사용자의 사전 동의 없이도 개인 정보를 수집해 제품 정보에 대한 문자 알림 서비스를 할 수 있다. 이러한 서비스는 디바 이스 사용자의 기호에 대한 정보 수집이 가능하므로 수집 정보가 유출되 면 사생활을 침해당할 수도 있다.34)
상태에서 정보의 수집을 더욱 용이하게 만들고 있다. 예컨대, 사용자의 스마트폰으로 맞춤형 정보와 서비스를 제공하는 데 사용되는 근거리 위 치인식기술인 비콘(Beacon)서비스는 최고 50m 정도까지 신호를 감지 할 수 있어서 디바이스 사용자의 사전 동의 없이도 개인 정보를 수집해 제품 정보에 대한 문자 알림 서비스를 할 수 있다. 이러한 서비스는 디바 이스 사용자의 기호에 대한 정보 수집이 가능하므로 수집 정보가 유출되 면 사생활을 침해당할 수도 있다.34)