세대·단지 서버 분리 규정에도 실제 현장 여전히 연결돼 해킹 취약
정보통신기술사회 "홈네트워크 설계 전문성 높이고 감리 강화해야"
당국 "해킹 방지 위한 보안 규정 엄격히 적용할 것…필요 부분 보완"
(서울=연합뉴스) 조성미 기자 = 2021년 아파트 월패드 해킹 사건 이후 홈네트워크 해킹 위험을 낮추기 위해 세대와 단지 네트워크를 분리해야 한다는 규정이 도입됐지만 실제 보안에는 허점이 여전한 것으로 파악됐다.
월패드 해킹 사건 이후 정부가 개정한 '지능형 홈네트워크 설비 설치 및 기술기준'을 적용했다는 홈네트워크를 보안 전문가들이 실제 점검해봤더니 네트워크 분리가 제대로 돼 있지 않아 여전히 해킹에 속수무책인 것으로 드러났다.
전문가들은 홈네트워크가 보안 규정을 잘 지켜 설계, 시공됐는지 꼼꼼히 파악할 수 있는 체크리스트 적용과 감리 제도 강화를 제도화할 것을 주문하고 있다.
17일 한국정보통신기술사회의 '공공주택 지능형 홈네트워크 설비 세대 간 망 분리 점검 결과서'를 보면 네트워크(망) 분리 기준을 지켜 시공했다는 한 신축 아파트에서 세대와 단지 서버가 실제로는 버젓이 이어져 있는 현상 등이 다수 발견됐다.
한국정보통신기술사회는 사물인터넷(IoT) 등 정보통신(IT) 시스템의 설계, 감리, 기술 자문 등을 맡는 정보통신기술사들이 모인 단체로, 이번 점검은 한국정보통신기술협회(TTA)의 '홈네트워크 세대 간 네트워크 분리 설치 방법' 표준, 기술사회 자체의 '세대 간 망 분리 점검기준' 등을 적용해 진행됐다.
기술사회가 신축 A 아파트를 대상으로 해킹 피해를 최소화할 네트워크 분리가 잘 이뤄져 있는지 점검한 결과 보완 요구 사항 2개와 권고 사항 2개가 발견됐다.
가장 큰 문제로 지목된 것은 월패드를 중심으로 한 각 세대 홈네트워크와 단지 서버가 여전히 이어져 있다는 점이다.
2021년 말 전국 700여 곳 아파트가 월패드 해킹을 당해 주민 사생활 영상이 온라인에 유출된 사실이 사회를 발칵 뒤집어놓은 이후로 각 세대의 서버와 단지 전체를 관리하는 서버를 분리해야 한다는 원칙이 기술기준에 포함됐다.
한 세대의 월패드가 해커 공격으로 뚫려도 이와 연결된 네트워크가 없다면 피해가 그 세대에 그치고 말지만, 단지 서버를 통해 다른 세대, 다른 아파트 네트워크로도 이어졌다면 2021년 사례처럼 피해가 일파만파로 커질 수 있기에 취해진 조치다.
2022년 7월 이후 사업 승인을 받은 공공주택부터 이 기술기준을 적용해 홈네트워크를 구축해야 한다. 공사 시기를 감안했을 때 이르면 내년부터 완공되는 아파트들이 대거 이 기준에 부합해야 한다는 이야기다.
하지만 정부의 기술기준 의무화에 앞서 네트워크 분리를 선제적으로 적용했다는 A 아파트의 네트워크 분리 상태를 한국정보통신기술사회가 따져봤더니 해킹에 취약한 점이 그대로여서 우려가 커진다.
A 아파트의 경우 월패드에서 단지 서버까지 전 구간 네트워크 가운데 일부 구간에만 네트워크 분리를 적용하고 있었다. 해커가 이 네트워크를 통해 다른 네트워크로 침입하는 길이 완벽히 차단되지 않았다는 이야기다.
또, 각 세대 월패드와 직접 통신하는 경비실 단말기와 아파트 입구에 설치된 일명 '로비폰'이 단지 서버와 분리돼 있지 않아 해커가 네트워크를 타고 다른 세대, 단지로 사이버 공격을 감행하는 통로로 악용될 가능성이 높았다.
여기에 주차 관제, 출입 통제, CCTV 관제 등을 맡는 공용부 네트워크와 단지 서버가 분리되지 않은 것도 보안 우려 사항으로 꼽혀 네트워크 분리가 권고됐다.
한국정보통신기술사회 관계자는 "홈네트워크 장비 공급업체, 설치업체가 '정부의 기술기준을 따랐으니 문제없다'고 하고 건축주가 이를 받아들이면 이처럼 보안에 구멍이 크게 난 상황에서도 아파트 준공이 끝나버리는 것"이라고 우려했다.
그는 "해킹 등 사이버 공격 피해를 보지 않도록 네트워크를 완벽히 구성했는지 현장 감리원이 확인해 준공 도서에 결과를 포함하는 방안이 정보통신공사업법 시행규칙에 포함돼야 한다. 그래야 아파트 홈네트워크가 뚫려 국민 사생활이 만천하에 노출되는 사고가 재발하지 않을 것"이라고 강조했다.
현행 시행규칙은 건축물 시공 상태 평가 결과서 항목에 지능형 홈네트워크에 대한 설비 기준이 빠져있다.
보안업계 관계자도 "대형 건설사조차 소비자 눈에 보이지 않는다는 이유로 월패드에 사용자를 보호하는 VPN(가상 사설망) 기능을 소프트웨어로만 탑재하는 등 원가 절감에만 매달리고 있어 입주자 사생활 보호 취약점이 우려된다"고 말했다.
한국정보통신기술사회는 또 아파트와 같은 공공주택 홈네트워크 설계 과정의 문제점도 지적했다.
설계를 맡는 건축사 일부가 홈네트워크 보안 전문가가 아닌 전기 시공 전문가 등 보안 비전문가를 고용해 홈네트워크 설계를 맡기는 관행이 유지되고 있다는 것이다.
이에 대해 과학기술정보통신부 관계자는 "정보통신 전문가 활용을 제고해야 한다는 의견에는 동의하지만, 정보통신 기술자만이 이 업무를 할 수 있게끔 법제화하려면 건축사 등 다른 업계 협의와 공론화 과정이 더 필요하다"고 말했다.
이 관계자는 이르면 내년부터 완공되는 아파트의 보안 규정이 강화되는 것과 관련해 "홈네트워크 보안을 점검할 체크리스트 안을 만들어 안내하고 교육을 강화하려 하고 있으며, 법제적인 보완이 필요한 부분을 최대한 반영하도록 감리협회 등 업계와 협의해 준비 중"이라고 덧붙였다.
csm@yna.co.kr