스마트홈 보안의 시작은 세대간 망분리에서부터..

최근 발생한 아파트 월패드 해킹 사건으로 인해 아파트와 같은 공동주택의 보안 이슈가 주목을 받고 있습니다. 과기정통부는 2018년부터 지능형 홈네트워크의 보안을 강화해야 한다고 했지만, 국토부나 산자부는 비용적인 이슈로 이에 반대를 했었죠. (지금은 그들도 완전히 반대하지는 않았다고 합니다.) 

 

아무튼 지능형 홈네트워크의 보안을 강화하는 방법에는 여러 가지가 있겠지만, 그 중의 하나가 세대간 망 분리입니다. 즉, 해킹으로 인해 어떤 세대의 홈네트워크에 보안 문제가 발생하더라도 세대 네트워크를 서로 분리함으로써 아파트 단지내 다른 세대로 확산되는 것을 막아보자는 거죠. 

 

 

설명을 위해 아파트 단지의 홈네트워크 구조를 보겠습니다. 보통 아파트 단지에는 아파트 단지의 스마트 기기들을 제어하고 서비스를 제공하기 위한 홈네트워크 서버가 있습니다. 얘가 백본 스위치를 통해 각 단지의 워크그룹 스위치와 연결이 됩니다. 보통 아파트 1층이나 지하 1층에 MDF실 같은게 있는데 거기 있는 스위치 중의 하나입니다. 

 

이 스위치에서는 보통 같은 라인에 있는 모든 세대의 홈게이트웨이(홈 G/W) 혹은 이번에 사건이 터진 월패드에 연결이 됩니다. 보통 월패드가 홈게이트웨이의 역할도 하고 있거든요. 그리고, 월패드에는 집안에 있는 약 20여 가지의 스마트홈 설비와 연결되어 있습니다. 

 

개념적으로는 위 그림처럼 아파트의 각 세대는 홈 G/W를 중심으로 구분되고 나머지 부분이 아파트 단지망이 됩니다. 그리고 이들을 합쳐서 아파트의 지능형 홈네트워크라고 부릅니다. (참고로 각 세대가 가입한 인터넷은 그림에 포함시키지 않았습니다.)

 

 

 

개념적으로는 아파트 단지망과 각 세대망이 서로 구분되는 것으로 인식이 되지만, 네트워크 관점에서는 이들이 하나의 동일한 로컬 네트워크를 구성하게 됩니다. 즉, 아파트 단지의 백본 스위치가 워크그룹 스위치를 통해 모든 세대의 홈 G/W에 접근을 할 수 있는 구조입니다. 반대로 특정 세대에서도 워크그룹 스위치나 백본 스위치를 통해 다른 세대로 접근을 할 수 있습니다. 

 

이 말은 만약 해커가 아파트의 백본 스위치나 홈네트워크 서버에 침입을 할 수 있다면 단지내 모든 세대의 기기들을 통제할 수 있게 된다는 것을 말합니다. 만약 파이어월이 있어서 백본 스위치나 홈네트워크 서버를 해킹하지 못한다 하더라도 보안이 약한 특정 세대의 기기를 해킹할 수 있다면 단지내 모든 세대의 기기들을 통제할 수 있게 됩니다. 

 

물론, 저와 같은 일반인들은 이런게 불가능하겠지만, 네트웍 보안 전문가나 해킹 전문가들의 말에 따르면 이런 일은 매우 쉽다고 합니다. 따라서, 등장하는 이야기가 세대간 망분리를 하자는 것입니다.  

 

 

위 그림은 개념적으로 세대간 망 분리를 나타낸 것입니다. 개별 세대망이 워크그룹과 백본 스위치에서 서로 구분이 되도록 만드는 것입니다. 제가 네트워크 공부를 안 한지 15년이 넘어서 잘 모르겠지만, 이를 구현하는 방법에는 여러 가지 방법이 있을 것입니다. 그 방법들은 전문가들에게 맡겨야 할 것 같구요, 아무튼 물리적 혹은 논리적으로 세대망을 분리하는 것이 가능하리라 생각합니다. 

 

물론, 세대간 망을 분리하다 보면 추가 비용이 발생할 수도 있고, 아파트 단지에서 제공하는 서비스를 제공하는 것이 불가능해지거나 혹은 홈네트워크 서버를 클라우드로 이동시킨 후 서비스를 제공하는 등 일이 복잡해질 수도 있습니다. 하지만, 홈네트워크의 보안이 중요하냐 비용이 중요하냐를 생각하면 답은 간단하다고 생각합니다. 기축이야 모르겠지만, 신축 아파트의 경우 그렇게 네트워크를 구성하는데 추가되는 비용은 미미한 수준일 것이기 때문이죠. (뭐 여기에는 건설사들이 관련 비용을 제대로 안 주려고 하니 홈네트워크 사업자들이 어쩔 수 없이 현재의 구조로 가는 것일 수도 있습니다.)

 

물론, 이 외에도 여러 가지 보안 기술들을 병용해야 할 것입니다. 논리적이든 물리적이든, 망분리가 모든 보안 이슈를 해결해 주지는 않을 것이기 때문이죠. 단적으로 개별 세대에 제공되는 와이파이의 접속 비밀번호는 유추하기 너무 쉬운 구조입니다. 예를 들면, 103동 1401호라면 비밀번호가 103.1401인 경우가 많습니다. 이 외에도 카메라에 커버를 추가하는 것도 하나의 방법이고 엄격한 사용자 인증이나 접근제어(ACL)를 강화하는 방법 등 다양하리라 생각합니다.  

 

 

그런데, 어떤 분들은 세대간 망분리에 대해 그건 안된다라고 하시는 분들이 계십니다. 아마도 그분들은 발전소나 금융권 등에서 사용하는 망분리를 생각하기 때문에 망분리는 답이 아니다라고 말하는 것 같습니다. 사실, 논리적이든 물리적이든 망을 분리해서 사용하는 것은 비용과 불편함을 수반하고, 앞서 말씀드린 것처럼 추가적인 보안조치가 없다면 모두 허사이기 때문입니다. 물리적인 망분리를 했던 발전소와 금융권에서 어처구니 없게 USB 메모리 하나로 보안이 뚤리기도 했으니 말입니다. 하지만, 그 방법이 어떤 것이든 간에 세대간 망분리는 최소한이나마 의무적으로 적용되어야 하리라고 생각합니다. 

 

물론, 이를 완전히 업계에 맡기는 것도 하나의 방법이라고 생각합니다. 그래서 더 좋은 방법을 찾을 수 있도록 하는 것도 하나의 방법일 것입니다. 하지만, 현재의 구조나 기업들의 관행, 보안에 대한 의식 등을 봤을 때, 시장에 맡기는 것은 답이 아닌 거 같습니다. 

 

참고로 다시 한번 말씀드리지만, 네트워크 쪽 공부를 안 한지 너무 오래 되어서 제가 잘못 알고 있는 내용들도 있으리라 생각합니다. 그런 부분 있으면 지적 및 올바른 내용까지 알려주시면 감사하겠습니다.