"3000만큼 사랑해."
IoT 보안에 있어 사물 그리고 사용자를 인증하는 일은 가장 먼저 일어나고 또 가장 중요하다. 그리고 그 중요성은 앞으로 IoT 기술이 점차 발전해 사람:사물 연결을 넘어 사물:사물 연결로 향해 갈수록 더욱 커질 것이다.
와이파이 사용자들은 혼란에 빠졌다. "WPA2는 믿어도 된다며!" "암호화는 안전하다며!" "AES마저 불안하다는 거냐!" 당연한 반응이다. 그만큼 WPA2에 대한 믿음이 굳건했던 것이다. 그리고 공격에 따른 피해 규모는 감히 상상도 할 수 없을 정도로 심각하다. 생각해 보자. 우리는 와이파이를 통해 얼마나 많은 그리고 위험한 정보를 주고받고 있나. 혼란은 당연하다.
세상 모든 사물을 인터넷에 연결했는데, 취약점이 발견되어 기기 업데이트를 해야 한다면, 그건 정말 시작할 엄두조차 나지 않는 어마어마한 일일 거다. 일단 연결하고 취약점이 발견되면 그때 되어서야 보안 조치를 취하는 기존 IT 보안 '선연결-후보안' 방법론을 적용해선 안 되는 이유다.
조심하기만 하면 뭐 어떻게든 될 일이다. 번호 누를 때 몸과 손으로 번호판을 가린다든지, 겉보기 좀 흉하더라도 번호판 가림막을 설치한다든지, 천장이나 벽에 전에 못 보던 수상한 장치가 추가되었는지 늘 관찰한다든지, 문이 잠길 때까지 문고리를 붙잡고 있는다든지.. 그런데 그게 끝이 아니다.
"IP 카메라"가 또 털렸다. 혼란 와중에 "이때다!" 달려드는 장사치들이 있다. 그리고 엉뚱한 말로 겁주며 뭘 자꾸 사라고 한다. 물론 헛소리다. 이번 사건 경위와 1도 관계 없다. 왜들 이러나, 이 시장은 왜 이리 혼탁한가, 뭘 어떻게 해야 깔끔해질까, 어지럽다. 이번에 터진 사건은 "해킹"이라 할 만한 짓도 아니다.
요즘 각종 앱 관련 사고들이 빵빵 터지고 그에 비해 전엔 흔했던 웹사이트 사고 소식은 뜸해 보이니 '앱이 웹보다 위험한 건가?' 뭐 그리 흘러간, 그러니까 "누가 돈을 훔쳤다. 돈이 위험하다!" 이것과 비슷한 흐름 같다. 그러나, 순전히 오프라인에서만 동작하는 단순한 앱이 아니라면 앱은 결국 웹에 연결되고 대부분의 사고는 웹 영역에서 터진다. 최근 떠들썩했던 사고들을 보더라도
작년 가을의 군 내부망 해킹 사고를 보더라도 그 원인은 '백신' 그리고 '망분리' 등 어떤 도구의 효과를 지나치게 믿었기 때문 아닌가 싶다. 국방부 전산 시스템에는 다른 정부기관이 그러하듯 내부망과 외부망을 나눠 쓰는 소위 망분리가 적용되어 있다. 안과 밖에 아예 다른 망을 씀으로써 위험을 애초에 차단하자는 의도였을 것이다. 그런데 그 망과 망 중간에다가 백신을 관리하는 중계 서버를 둔 것, 게다가 그 중계 서버만도 800대나 필요한 복잡한 구조였다. 이럴 거면 망분리를 왜 했나, 상식적으로도 이해할 수 없는 일이다. 안전한 시스템 설계의 실패, 즉 보안이 성립하지 않았던 것이다.
사물이, 자동차처럼 크고 무겁고 빠른 사물이라면.. 해킹이란 말의 의미가 전과 완전히 다른 차원, 즉 사람의 목숨이 걸린 문제로까지 훌쩍 치솟는다. 그렇기 때문에라도 IoT 보안을 기존 IT 시스템 보안, 특히 모바일 보안과 동일시해선 안 될 일이다. 거듭 강조하는 바, IoT 보안은 취약점이니 뭐니 그런 것들 따지는 일이 아니고 아니어야만 한다. 애초에 취약점이 없게끔 설계해야 하는 일이라 그런 여유 부릴 틈도 없다. 그것이, IoT 보안의 제1의 원칙 '선보안 후연결(Secure First, then Connect)' 개발 원칙이다. 커넥티드 뭐뭐뭐들의 가장 큰 문제는 커넥션일까. 아니, 보안 즉 안전이다.