아파트 월패드, 새로운 인증기술로 보호한다
지난해 아파트 월패드 해킹 사고로 전국민이 사생활 유출 공포에 시달렸다. 우리나라 여러 아파트 단지를 해킹해 사생활을 다크웹에서 판매하고 있다는 해커는 하루치 영상을 0.1비트코인에 판매하고 있었는데, 당시 시세로 800만원 정도였다. 이 사실이 알려진 후 정부는 세대별 망분리 의무화를 담은 대책을 발표하는 한편, 개인에게도 월패드 비밀번호를 주기적으로 변경하는 등 보안 수칙을 권고했다.
스마트홈 기기 해킹으로 인한 사생활 유출은 몇 년 전부터 심각한 사회 문제로 지목되어왔다. 가정용 IP카메라와 웹캠, AI스피커, 스마트TV, 디지털 도어락 등 홈 네트워크나 인터넷에 연결된 기기가 해킹당하고 개인정보와 사생활이 유출되는 사고가 잇따랐다.
아파트 월패드 해킹은 이전에 발생한 그 어떤 사고를 능가하는 심각한 피해가 발생할 수 있다. 공동주택 스마트홈 네트워크 구조를 보면, 각 세대별로 설치된 월패드가 동별 게이트웨이를 통해 아파트 단지 서버, 중앙서버로 연결된다. 아파트 단지 서버는 단지 내 공공시설물인 CCTV, 주차관리 시스템, 쓰레기 처리, 단지 내 와이파이 등 관리 시스템과도 연결된다. 이러한 설비를 해킹해 정보 유출·변조할 수 있으며, 이 기기와 연결된 시스템으로 침투해 아파트 단지와 각 세대에서 일어나는 일을 감시하고 사생활을 외부로 노출시킬 수 있다.
망분리만으로 아파트 단지 해킹 사고 막지 못해
아파트 월패드 해킹 피해 예방을 위해 정부는 오는 7월부터 아파트 월패드에 대한 세대별 망분리를 의무화했다. 각 세대의 월패드와 게이트웨이 사이에 방화벽을 두고 불법적인 침입자가 게이트웨이를 통해 다른 세대나 아파트 단지 서버로 이동하는 것을 막는다.
그러나 세대별 망분리는 한 가정의 월패드를 해킹해 다른 세대로 피해를 확산하는 것을 막을 수 있지만, 스마트 홈 보안 대책으로는 미흡하다. 아파트 단지 서버, 관리자 PC, 단지 내 시설 관리를 위한 IoT 기기가 감염돼 아파트 단지가 침해당하는 것은 다른 보안 대책이 필요하다.
아파트 단지 중앙관리 서버에 침투하는 가장 쉬운 방법은 관리자 PC를 해킹하는 것이다. 업무와 관련된 내용의 악성메일을 보내거나 아파트 입주자 게시판에 민원관련 게시글과 증빙자료라며 악성파일을 업로드하면 쉽게 관리자PC를 감염시킬 수 있다.
망분리로 관리서버의 인터넷 접속을 차단한다 해서 문제를 해결할 수 있는 것은 아니다. 관리자는 업무에 필요한 관계기관 협조, 민원처리, 각종 관리 업무를 위해 인터넷에 접속하고 필요한 자료를 공유한다. 업무에 필요한 인터넷 자료를 업무망으로 불러오는 일이 수시로 발생하는데, 이 때 악성파일이 정상 업무 자료로 위장해 들어올 수 있다.
일회용 인증코드로 강력하고 편리한 IoT 인증 수행
스마트홈 보안을 위해 망분리도 필요하지만, 그 외에 데이터 암호화, 월패드 및 단지 내 IoT 기기 무결성 검증과 강력한 인증, 기기-서버간 통신 보안을 적용해 정상적으로 인가된 명령만 수행할 수 있어야 한다.
인증과 무결성 검증, 암호화는 사용자나 관리자가 일일이 적용하지 않아도 자동으로 진행될 수 있어야 하고, 사용과 관리가 복잡하지 않고 단순해야 한다. 그러면서도 계정을 탈취하거나 지능적으로 악성코드를 유포하는 공격을 차단해야 한다. 더불어 물리적인 침입으로 시설물을 탈취하거나 배선반(MDF), 중간 단자함(IDF)에 무단 접근해 도·감청하거나 정보를 유출하는 사고를 막아야 한다.
이 처럼 까다로운 보안 요구사항을 만족할 수 있는 기술이 있다. 보안인증 기업 센스톤은 누리플랜의 스마트홈 네트워크 보안 솔루션 ‘누리존(Nuri-Zone)’에 ‘OTAC(One-Time Authentication Code)’를 공급해 간편하면서도 강력한 인증으로 스마트홈 네트워크 보안을 향상시킬 수 있게 했다.
OTAC는 기기에서 중복되지 않는 일회용 인증코드를 생성해 네트워크 연결이 단절된 상황에서도 인증을 수행할 수 있다. 인증코드는 단 한번만 사용할 수 있기 때문에 탈취한 인증코드로 기기를 제어할 수 없어 인증정보 탈취 공격으로부터 자유롭다.
OTAC가 접목된 누리존은 시설물 관리를 위한 CCTV, 출입통제, 주차관리 시스템이나 아파트 월패드 등에서 OTAC와 암호키로 인증한 후, 해당 인증값을 암호화 해 게이트웨이의 OTAC 클라이언트로 보낸다. 정상 기기의 정상 통신 요청으로 판단되면 게이트웨이에서 공용서버와 단지 통합 방재실 서버로 통신을 연결하며 명령을 처리할 수 있도록 한다. 전송되는 모든 데이터는 강력한 암호화로 보호된다.
OTAC는 아파트 입주민 출입카드에도 사용돼 불법복제로 인한 침입도 막을 수 있다. OTAC 애플릿이 적용된 출입카드 혹은 SDK가 적용된 출입용 애플리케이션을 사용하면 다이내믹 코드가 생성되고, 월패드 혹은 도어락에서 인증을 수행해 정상적인 출입코드만 출입을 허용한다. 재사용 불가한 일회용 코드이기 때문에 복제 사용할 수 없다. 모바일앱을 이용하면 카드를 별도로 소지하지 않아도 출입할 수 있다.
이용자·관리자 보안수칙 지켜야
홈 네트워크를 안전하게 이용하기 위해서는 앞서 설명한 관리적·기술적 대책뿐만 아니라 개인과 아파트 관리자의 보안 수칙 실천도 중요하다. 이용자들은 사용하는 기기의 비밀번호 관리를 철저히 하며, 보안 업데이트를 수행하고, 카메라 기능을 이용하지 않을 때 가려두는 것이 좋다. 관리자는 방화벽 등 보안장비 운영과 서버와 애플리케이션의 보안 취약점 점검·조치, 불필요한 프로그램과 서비스 제거, 관리자 비밀번호 주기적 변경 등이 필요하다. 또 침해사고 발생 시 한국인터넷진흥원 침해사고 대응센터(118)로 전화해 도움을 받는 것이 좋다.
월패드 등 홈IoT 기기 제조사들의 노력도 필요하다. 시큐어부팅, 보안칩 등 하드웨어 설계부터 보안을 고려해야 한다. 이와 관련 전문지식이 부족한 경우 턴키 방식으로 보안 플랫폼을 제공하는 기업과 협력하면 도움이 된다. 한국인터넷진흥원의 IoT 보안인증을 획득하면 인증마크를 부여받아 관련 서비스에 공급할 때 경쟁사 대비 차별성을 부각할 수 있다. 한편 과학기술정보통신부는 IoT 보안인증을 법제화하기 위해 ‘정보통신망연결기기등 정보보호인증에 관한 고시(과기정통부 고시 제2021-73호)'를 제정했다.