[뉴투분석] IoT·메타버스·NFT·AI 新기술의 역설, 더 사악해지는 사이버 범죄… 대비책은?
사생활 노출·디도스 공격·성범죄·사이버 폭력·유해 콘텐츠 노출·부정 판매 등 / 일상생활 밀접 'IoT' 대상 공격 나날이 증가… 메타버스·NFT·AI 보안도 '빨간불' / 전문가 "대학 등서 보안기술 선제적으로 개발·사용토록 정부가 나서야" 조언

[뉴스투데이=전소영 기자] IoT(사물인터넷) 기기나 메타버스(확장 가상세계), NFT(대체불가토큰), AI(인공지능) 등 신기술의 ‘편리함’이란 달콤함으로 우리의 삶의 질을 한층 더 향상시켰다. 하지만 단맛도 강하면 쓴맛이 되는 법. 우리가 편리함에 중독되는 사이 ‘사이버 범죄’라는 쓴맛이 다가오고 있었다.
AI를 활용해 음란물 사진에 타인의 얼굴을 합성하는 딥페이크 범죄가 성행하고 있으며, 지난 11월에는 국내 아파트 수백가구의 월패드(Wallpad·주택 관리용 단말기)가 해킹돼 새로운 불법 촬영물의 근원지로 지목되기도 했다.
내년에는 다양한 IoT 기기나, 메타버스, NFT, AI 등 신기술 대상 신종 사이버 위협이 증가할 거라는 관측이 나온다.
인터넷의 발전과 함께 등장해 끊임없이 IT 생태계를 괴롭히고 있는 사이버 범죄는 신기술을 등에 업고 더욱 사악해지고 있다.
최근 가장 화두에 오른 사이버 범죄는 올해 말 전 세계를 강타한 ‘이는 컴퓨터 역사상 최악의 보안구멍’ 아파치 로그4제이(Apache Log4j, 이하 로그4제이)이다.
로그4제이는 거의 모든 자바 앱에서 사용되는 로깅 프레임워크로, 프로그램 동작 과정에서 발생하는 일련의 기록을 남기기 위해 이용하는 오픈소스(무료) SW(소프트웨어)다.

로그4제이의 취약점(CVE-2021-44228)은 지난달 24일 처음 보고됐다. 원격 코드 실행과 연관돼 있는 취약점으로 특정한 메시지를 입력하면 원격으로 침투가 가능하며, 악성 코드를 심기 위한 통로 역할을 할 수 있다.
세계적인 사이버 보안 기업 테너블(Tenable) 측은 최근 10년간 가장 중대한 취약점이며 현대 컴퓨터 역사를 통틀어 최악의 결함일 수 있다는 분석을 내놨다.
그도 그럴것이 로그4제이는 오픈소스이니만큼 기업에서 홈페이지 등 인터넷 서비스 운영·관리 목적의 로그 기록을 남기기 위한 용도로 보편화 됐다. 애플과 아마존 같은 세계 주요 기업과 정부기관은 물론이고 국내에서도 많이 사용되고 있는 것으로 알려졌다.
실제 국내에서도 금융사 서버를 대상으로 한 로그4제이 관련 공격이 탐지돼 놀란 가슴을 쓸어내려야 했다. 다행히 실제 이를 이용한 해킹 등 실제 피해는 확인되지 않은 것으로 파악됐다.
이번 사태로 과학기술정보통신부(장관 임혜숙, 이하 과기정통부)는 “SW 개발부터 유지관리까지 전 과정이 보안 중요성이 대두됐고, 수요자 측면에서 SW 전반적인 사용주기(SDLC)에 보안 강화가 요구된다”고 전망했다.
이제는 일상의 한 부분이 된 IoT 기기 관련 사이버 범죄도 주목되고 있다. 해를 거듭할수록 IoT 기기 수가 계속해서 증가할 것으로 예상된다.
독일 조사회사인 IoT 애널리틱스(IoT Analytics)에 따르면 2019년부터 오는 2025년까지 전 세계 IoT 연결 기기 수는 △2019년 100억대 △2020년 117억대 △2021년 138억대 △2022년 164억대 △2023년 198억대 △2024년 244억대 △2025년 309억대다.
단연 IoT 기기가 늘어나는 만큼 이에 따른 사이버 범죄 위험 부담도 커질 것으로 예상된다. 국내에서는 이미 IoT 기기 대상 사이버 범죄의 위험성은 이미 한차례 경고된 바 있다.
최근 국내 한 가정의 일상생활이 담긴 영상이 해외 다크웹(특수한 웹브라우저를 사용해야만 접근할 수 있는 웹)에서 고가에 거래된 정황이 확인됐다. 해당 영상의 해킹자는 한국의 아파트 상당수를 해킹했으며, 영상은 스마트홈 기기를 통해 확보했다고 밝혔다.

이 밖에도 AI 스피커, 스마트 TV, IP 카메라 등 일상적으로 사용되는 각종 IoT 기기에 대한 보안위협에 대한 우려가 커지는 상황이다.
정부에서는 IoT 기기가 취약하면 사생활 정보 유출이나 디도스 공격 등 사이버 공격 수단으로 악용될 우려가 있기 때문에 이에 대한 점검과 보안 취약점 조치 강화 등의 필요성을 강조하고 있다.
메타버스·NFT·AI 등 신기술은 새로운 SW 개발 과정에서 개발자의 실수나 설계단계에서 보안이 고려되지 않아 발생하는 무결성, 인증체계에 대한 허점 등 취약점이 있을 수 있다. 때문에 이를 악용한 새로운 유형의 사이버 범죄 가능성이 새롭게 주목받고 있다.
예컨대 4세대 소셜네트워크서비스(SNS)로 알려진 메타버스에서도 페이스북과 인스타그램 등 기존 SNS에서 논란이 된 10대 대상 성범죄, 사이버 폭력, 유해 콘텐츠 노출 등 문제로부터 자유로울 수 없다는 평가다.
또 최근 NFT에는 자본이 집중되는 현상을 보이고 있기 때문에 이를 노리고 권한을 탈취해 부정 판매할 우려도 있으며, 자율주행 자동차의 인식기능을 방해하는 등 AI의 학습을 방해해 오판·오인식을 유도하는 공격이 있을 수 있다는 가능성도 제기됐다.
이와 관련해 보안전문가는 기술 설계 단계에서부터 보안이 고려되는 게 가장 좋으나 이는 현실적으로 어려운 문제라고 지적하며, 이 부분을 정부 지원을 통해 보완해줘야 한다고 진단했다.
이와 관련해 고려대학교 정보보호대학원 김형중 교수는 뉴스투데이에 “최근 신기술들은 돈과 연결된 경우가 많다 보니 해커들 입장에서는 고수익 대상이므로 이와 관련된 사이버 범죄가 점점 늘어날 수밖에 없다”고 말했다.
이어 “시큐리티 바이 디자인(보안·생산성 동시 상향)이라고 해서 설계 단계에서부터 보안을 고려해야 한다. 하지만 이는 보안 관련자들의 입장이다”라며 “기술 개발업체 상당수가 벤처기업일텐데 안 그래도 인력 수급이 어려운 상황에서 설계도 잘하고 보안까지 고려하라고 하는 건 현실적으로 어렵다”고 덧붙였다.
김 교수는 “때문에 그런 보안 기술을 대학 등에서 선제적으로 개발해 널리 사용할 수 있도록 이에 대한 지원을 정부에서 나서야 한다”며 “메타버스, NFT 등에 정부 예산을 많이 쏟겠다고 하는데 가장 시급한 부분이 무엇인지 고민해 보고 우선순위를 정해야 한다. 보안도 중요한 요소 중 하나임을 명심해야 할 것”이라고 강조했다.
한편 정부에서는 사이버범죄에 대한 선제적 대응책 마련에 힘쓰고 있다. 그 일환으로 디지털안심 국가를 실현하기 위한 ‘K-사이버방역 추진전략’을 추진한다.
오는 2023년까지 총 6700억원의 예산을 투입해 사이버위협 정보 실시간 수집·공유 및 전국 원스톱 침해대응 체계를 꾸린다. 디지털안심 국가 기반 구축, 보안 패러다임 변화 대응 강화, 정보보호산업 육성 기반 확충 등을 중점적으로 다룰 방침이다.
과기정통부 관계자는 “사이버위협의 경계는 더 이상 무의미해지고 정보보호를 필요로 하는 영역이 확대되고 있으며, 무인상점 해킹, 인공지능을 활용한 공격 등 새로운 보안위협도 날로 증가하고 있다”고 밝혔다.
그러면서 “기존 네트워크, PC 중심, 전문가 및 사고대응 위주의 정보보호만으로는 디지털경제 시대의 사이버위협 대응에 한계가 있기 때문에 정보보호 패러다임의 근본적인 변화가 필요하다”고 강조했다.
BEST 뉴스
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.