오는 8월 열리는 제 23회 데프콘 보안 컨퍼런스에서는 사물인터넷 보안이 대대적으로 도마 위에 오를 전망이다. 이전의 사물인터넷 보안 평가 결과를 감안한다면, 보안 결함이 다수 드러날 것으로 예상된다.
미국에서 가장 큰 해커방어대회인 데프콘에서는 올해 일명 ‘사물인터넷 빌리지(IoT Village)’라는 행사가 마련된다. 이는 사물인터넷 기기 보안에 대해 논의하고 취약점을 실제 공격하는 특별 행사다.
사물인터넷 빌리지 공식 사이트는 “IP 연결이 가능한 임베디드 시스템이 얼마나 안전한지, 또는 얼마나 보안에 취약한지 보여주세요”라고 설명한다. 또 이 사이트는 “라우터, 네트워크 스토리지 시스템, 카메라, HVAC 시스템, 냉장고, 의료기기, 스마트 자동차, 스마트 홈 기술, TV, 이 모든 것이 IP에 연결된다면, 사물인터넷 빌리지의 관심사입니다”라고 밝히고 있다.
사물인터넷 빌리지 조직과 운영은 지난 해 ‘소호플리슬리 브로큰(SOHOpelessly Broken)’이라는 라우터 해킹 대회를 개최했던 인디펜던트 시큐리티 이벨루에이터(Independent Security Evaluators, ISE)라는 기업이 담당한다. 이 대회에서는 5개의 대중적인 무선 라우터 제품에서 총 15개의 보안 취약점이 드러났던 바 있다.
대회에서 수상하려면 과거에 알려지지 않은 보안 취약성을 시중에 판매되는 인터넷 연결 기기에서 찾아내야 하며, 이 취약성을 악용할 수 있음을 증명해 보여야 한다.
또 대회에서 발견한 취약성을 발표하기 전에 피해를 입은 제조업체에 결함을 보고했다는 증거도 제시해야 한다. 이는 참가 해커들이 발견한 결함을 대회 주최측에 미리 등록할 수 있다는 것을 뜻한다. 만약 해당 업체가 대회 개최 이전에 보안 취약성에 대한 패치를 배포하더라도, 발견한 익스플로잇이 미리 조직 운영위원회에 등록된 것이라면 자격을 인정받을 수 있다.
주최측에 따르면 이 밖에 ‘깃발 뺏기’ 모델을 응용한 별도의 대회와 여러 깜짝 이벤트가 예정돼 있다. 사물인터넷 기기 보안, 방어, 관리를 주제로 한 워크숍도 진행될 예정이다. dl-ciokorea@foundryco.com
