[해킹, 이제 목숨까지 위협한다②]자율주행차·드론 테러 무기가 될 수 있다?
IS가 소형 드론을 테러용으로 이용할 것이라는 우려는 꾸준히 제기됐으나 실제 IS가 드론을 이용해 서방을 공격한 것은 이번이 처음이다. 미국 워싱턴 포스트는 "작고, 파괴하기 어려운 드론이 백악관 잔디밭부터 원자력 발전소까지 제한된 지역에 지속해서 침범하고 있다"며 "군대와 경찰이 반-드론 기술을 도입해야 한다"고 지적했다. 이 사례는 IS가 자신들이 보유한 드론을 이용해 상대를 공격한 사건이다. 여기서 우리가 유추할 수 있는 것은 대형 군사용이 아닌 레저·영상 촬영 등 용도로 사용되는 소형 드론도 얼마든지 테러 목적으로 전용될 수 있다는 사실이다. IS가 코너에 몰리면서 고급 해커를 고용할 자금도, 여유도 없는 데다 미국, 러시아, 중국 등 '해킹 강국'들이 IS를 적대시해 일반 드론을 해킹을 통해 '살상무기'화할 가능성은 작다. 그러나 다른 테러 집단이 드론과 자율주행차 등을 해킹해 목적 실현에 사용할 가능성은 상존한다. 자율주행차는 IS, 알카에다 등 이슬람 극단주의 무장세력 등 테러집단이 자살 폭탄 테러에 활용할 가능성이 가장 큰 IoT 기기로 주목받고 있다. 실제 지난 9월 미국 테슬라 자율주행차 'S시리즈'가 해킹을 당하는 일이 벌어졌다. 다행히 해당 해커는 '크래커(블랙 해커)'가 아닌 '화이트 해커'였고, 테슬라 측에 해킹을 미리 경고한 뒤 벌인 일이다. 화이트 해커는 민·관 정보 보안 전문가로 범죄자에 해당하는 크래커나 블랙 해커의 정반대 개념이다. 중국 인터넷기업 텐센트 산하 보안 연구소가 그 주인공으로 이들은 무려 19㎞ 떨어진 곳에서 노트북을 통해 무선 인터넷으로 주행 중인 S85D에 접속해 차를 급제동시켰다. 또한 차량이 차선 변경을 할 때 백미러를 접거나 방향지시등을 켜고 껐다. 트렁크를 열기도 했다. 또 다른 모델인 S75D의 경우 주차 모드에서 조종해 문을 열고 좌석을 앞뒤로 움직였다. 차량 탑재 인터넷 브라우저의 터치스크린을 무용지물로 만들었다. 이들은 이런 장면들을 고스란히 유튜브에서 공개해 경각심을 높였다. 이는 테러집단이 자율주행차에 폭탄을 다량으로 탑재한 뒤 목표물로 돌진시키는 방법으로 테러를 저지를 수 있고, 타깃으로 삼은 인물이 탄 차량을 해킹을 통해 원하는 장소로 옮겨 그를 납치할 수 있다는 얘기다. 드론은 지율주행차보다 크기는 훨씬 작지만 레이더에 잡히지 않으면서 하늘을 마음대로 날 수 있다는 점으로 그에 못잖게 위협적이다. 최근 일본 도쿄에서 열린 보안콘퍼런스 '2016 팩섹(PacSec)' 행사에서 보안회사 트렌드마이크로는 레저용 드론을 해킹해 마음대로 움직였다. 이 업체는 '이카로스'라는 이름의 해킹 툴을 사용해 드론을 비롯해 헬리콥터, 비행기, 자동차, 보트 등 원격조정기로 움직이는 모든 기기에 사용되는 통신 프로토콜인 'DSMx'를 장악해 해커가 마음 먹은 대로 드론 등을 조종할 수 있게 한다. 테러 집단이 이런 기술을 확대해 응용하면 지금 이 시각 이런저런 용도로 전 세계 하늘에서 날고 있는 드론에 장착된 카메라를 언제든지 자신들을 위한 실시간 CCTV 카메라로 활용할 수 있다. '낙하 무기'로도 사용 가능하다. 드론은 중량이 2∼10㎏까지 다양한데 만일 3㎏ 드론이 상공 100m에서 지상으로 추락할 때의 충격은 시속 50㎞로 달리는 오토바이와 충돌할 때와 마찬가지다. 그보다 무거운 대형 드론은 500m 상공까지 올라갈 수 있어 낙하 시 충격은 더욱 커진다. 굳이 폭탄을 탑재할 필요도 없다. 드론은 출력이 높고 가격은 저렴한 리튬 폴리머(Li-Polymer) 배터리를 동력원으로 사용하는데 이 배터리는 폭발성이 큰 것으로 알려졌다. 정유·화학 공장 등에 충돌하는 경우 재앙을 일으킬 수 있다.
자율주행차와 드론이 해킹을 당해 테러 무기로 돌변할 가능성에 대해 우려가 커지면서 관계 당국과 업계의 대응도 분주해지고 있다. 자사 차량이 해킹을 당해 체면을 구긴 테슬라는 "해킹은 차량 웹 브라우저가 악성 와이파이 핫 스폿에 연결됐을 때 등 아주 특별한 환경에서만 일어날 수 있다"면서도 "관련 소프트웨어를 보완했으며 화이트 해커들과 보안 문제를 지속해서 보완해 나갈 것"이라고 해명했다. 유엔(UN) 자동차규정조화월드포럼 산하 자율주행소위원회는 자율주행차의 사이버보안 가이드라인을 곧 발표한다. 관련 소식통에 따르면 유엔은 자율주행차 운행에 매우 중요한 가·감속 페달과 스티어링 휠의 통신 시스템을 분리해 해킹되더라도 차량이 장악되는 데 제한을 둘 방침이다. 또한 데이터와 통신신호 암호화, 자동차 데이터 보호와 안전기준 제3자 인증 등 내용을 포함할 방침이다. 이와 함께 자율주행차가 해킹 시도를 감지했을 경우 자동으로 갓길에 주차하는 기능, 자동차 내 시스템에 문제가 발생할 경우 때 운전자에게 경고하면서 수동운전으로 전환하는 내용 등을 기본적인 안전 기준에 넣을 방침이다. 시만텍, 펜타 시큐리티 등 국내외 주요 보안업체들은 전용 방화벽 등 스마트 카 관련 솔루션을 속속 내놓고 있다. 세계 드론 시장 70%를 차지한 중국 DJI는 "연결 신호를 암호화하는 등 끊임없이 보안 시스템을 연구하고, GPS 조작을 방지하는 등 대비책 마련에 주력하고 있다"고 밝혔다. ◇자율주행차·드론만 위험하다면 '착각' 세계적인 시장조사기관 가트너는 오는 2020년까지 다양한 산업 전반에서 약 300억대 사물이 네트워크로 연결되고 기업과 가정, 공장 내 곳곳에서 사물인터넷(IoT) 기기가 사용될 것으로 전망한다. 이는 곧 테러집단이 아니더라도 해커가 IoT를 이용해 청부 살인을 하거나 정부나 기업, 개인을 협박해 금품을 갈취하려 하는 일은 얼마든지 일어날 수 있다는 얘기다. IoT 선진국인 미국에서는 이미 그런 문제에 대한 정보기관, 보안업체 등의 경고가 잇따르고 있다. 당뇨병 환자이기도 미국 보안업체 룩아웃의 제이 래드클리프 연구원은 지난 2014년 전산화된 인슐린 펌프가 원격 제어 시스템을 통해 공격받아 인슐린 공급량을 해커가 마음대로 바꿔 환자를 해칠 수 있다는 사실을 발견했다. 그가 800m 떨어진 곳에서 이를 실연해 보이자 경악한 미국 식품의약국(FDA)는 이 제품의 사용을 금지했다. 래드클리프 연구원은 "인터넷을 통해 서로 연결되는 세계에서는 사람을 살리기 위한 의료 기술이 오히려 환자를 범죄의 희생양으로 만들 수 있다"고 짚었다. 보안업체 아임더 캐벌리 조슈아 코먼 CTO는 "IoT의 보안은 일반 보안과 큰 차이가 있다"며 "내 차가 공격을 받아 나를 죽일 수 있기 때문이다"고 위험성을 지적했다. 이 밖에도 국내 TV CF에도 자주 등장하는 스마트 홈 기기인 가스보일러가 해킹돼 설정 온도를 높게 설정해 사람을 살해하겠다고 협박하면서 몸값을 요구할 수 있다는 점도 미국의 한 보안 업체에 의해 제기됐다. 염흥렬 순천향대 정보보안학과 교수는 "IoT 보안 대책은 민간 참여와 민관 공조가 절실하다"면서 "정부가 만든 보안 가이드라인을 민간 주요 참여 주체에 의해 반드시 실천돼야 한다"고 강조했다. 염 교수는 "IoT 기기 설계와 운영 과정에서 보안과 프라이버시 내재화 원칙 적용이 필요하고, 개인정보보호 원칙에 근거한 수집 정보 최소화와 개인정보 익명화를 위한 비식별화 기법 등 프라이버시 보호 기법의 적용이 요구된다. 특히 IoT는 스마트 의료, 공장 자동화, 자동차 등 다양한 산업 전반에 걸쳐서 적용되므로 산업 부문별로 보안 가이드라인의 개발과 활용이 필요하다"면서 "우리 정부는 현재까지 잘하고 있다. 다만 IoT를 채택하는 제품이 폭발적으로 늘어나고 해킹 기술도 나날이 고도화하므로 안주해서는 안 되며 끊임없이 업체들을 이끌어야 한다"고 조언했다. [email protected] |