[뉴스웍스=박광하 기자] 한국토지주택공사(LH)와 민간 건설사들이 아파트 등 공동주택에 도입할 예정인 홈네트워크 기술·장비에 대해 정보통신·정보보호 전문가들이 보안 취약점이 우려된다는 의견을 내놨다. 하지만 공동주택 건설 사업자들은 해당 기술이나 제품을 도입하겠다는 입장에 변함이 없다. IT 업계에서는 보안에 취약한 장비가 쓰이면 입주자들의 해킹 피해로 이어질 수 있다고 내다봤다.

◆해킹 피해 확산 막으려 '세대간 분리' 의무화

현재 공동주택 내 특정 세대의 홈네트워크 장비가 다른 세대의 장비에 접근하지 못하도록 하는 조치가 의무화된 상태다.

지난 2021년 아파트 입주세대 내부에 설치된 카메라 장치가 해킹을 당해 여러 세대 내부가 무단 촬영, 유출된 사건이 발생했다. 정부는 같은 해 12월 국토교통부, 산업통상자원부, 과학기술정보통신부 등 3개 부처의 공동 고시인 '지능형 홈네트워크 설비 설치 및 기술기준(이하 고시)'을 개정해 홈네트워크 보안 취약점 문제 해결에 나섰다.

기존에는 공동주택 내 모든 세대가 하나의 홈네트워크를 공유했다. 이런 까닭에 해커가 한 세대의 홈네트워크 장비를 해킹한 뒤 다른 세대의 홈네트워크 장비에 접근하는 게 용이했다. 빠른 시간에 여러 세대를 해킹할 수 있던 것이다. 정보보호, 네트워크 업계에서는 2021년도의 아파트 해킹 사건이 이런 취약점 탓에 발생한 것으로 보고 있다.

개정 고시는 해킹 피해의 급속한 확산을 방지하기 위해 특정 세대의 홈네트워크와 다른 세대의 홈네트워크 간 접근을 막았다. 각 세대부터 홈네트워크 설비를 총괄적으로 관리하는 '단지서버'까지의 홈네트워크를 다른 세대와 물리적 또는 논리적으로 분리하도록 한 것이다. 이런 조치를 '세대간 홈네트워크 분리'라고 부른다.

이후 여러 종류의 세대간 홈네트워크 분리 솔루션이 출시된 상태인데, 전문가들은 솔루션들이 고시의 요구사항을 충족하는지를 확인해야 한다고 강조한다. 일부 기술이나 솔루션의 경우 특정 세대에서 다른 세대의 홈네트워크 장비에 접근하는 걸 막지 못하기 때문이다.

◆"월패드에 SSL VPN 탑재 방식 보안에 취약"

전문가들은 시중에 출시된 세대간 홈네트워크 분리 솔루션 중 'SSL VPN' 기술과 이를 내장한 홈게이트웨이 일체형 세대단말기(월패드) 제품이 보안에 취약하다고 지적하고 있다.

정동영·김정호 국회의원이 지난 12일 개최한 '공동주택 등 건축물 이용자 안전을 위한 정보통신설비 문제점 개선 방안 토론회'에서 정보보호 전문가인 정승기 솔티랩 대표이사는 "건설사들이 비용 절감을 목적으로 SSL VPN 등 부적절한 세대간 홈네트워크 분리 방식을 채택하고 있다"며 정부가 요구하는 '세대간 홈네트워크 분리' 준수를 위해서는 신뢰할 수 있는 기술, 솔루션을 도입해야 한다고 강조했다.

정 대표는 이날 토론에서 "SSL VPN 클라이언트를 내장한 월패드로 단지서버와 통신을 하는 경우, 월패드의 IP와 포트 번호 등 네트워크 정보가 노출되므로 악의적인 공격자가 월패드에 손쉽게 접근할 수 있다"면서 "SSL VPN이 아닌 오픈VPN이나 와이어가드 등 다른 VPN 기술을 사용하더라도 월패드 내에 소프트웨어(SW) 클라이언트로 VPN 통신을 구현하는 방식은 모두 같은 취약점을 갖고 있다"고 말했다.

그는 VPN 방식을 이용하는 경우 별도 하드웨어(HW) 장치가 월패드와 단지서버 앞단에 위치하는 방식이 안전하고, 시중에 IPSec VPN, VRF 등의 기술이 적용된 HW형 솔루션이 출시된 상황이므로 공동주택 건설 사업자들이 이런 장비를 채택하는 게 바람직하다고 의견을 냈다.

남우기 한국정보통신기술사회장도 세대간 홈네트워크 분리 솔루션 중 SSL VPN은 월패드 네트워크 정보가 노출돼 해킹에 취약할 수 있다고 지적했다. SSL VPN은 월패드와 단지서버에서 송수신 데이터를 암호화하는 효과가 있을 따름이며, 해커가 월패드에 접속한 다음 제어권을 탈취하는 공격을 방어할 수 없다는 것이다. 

◆LH에 민간 건설사까지 SSL VPN 도입 '만지작'

LH와 민간 건설사들은 SSL VPN 방식을 세대간 홈네트워크 분리에 적용하지 말아야 한다는 전문가 의견에도 불구하고 해당 기술을 현장에 도입하겠다는 입장이다.

LH는 2023년 9월 세대간 홈네트워크 분리 기술로 VPN만을 사용하겠다는 내용의 '입주민이 안심할 수 있는 주거환경 조성을 위한 스마트홈 보안설계기준 개선안'을 마련했다. 개선안은 HW 또는 SW로 VPN을 구현하는 방식을 채택할 수 있도록 하고 있다. 그러면서 세대간 홈네트워크 분리를 위한 세대당 도입 예산을 8~11만원 수준으로 책정했다.

IT 업계에서는 "안전한 HW 방식을 적용하려면 세대당 20~30만원 이상이 필요하다"면서 "예산을 세대당 10만원 내외로 정한 건 사실상 SSL VPN 클라이언트 내장 월패드만 쓰겠다는 것"이라고 분석했다.

최근에는 한 민간 건설사가 SSL VPN 클라이언트를 내장한 월패드를 도입하기로 알려지면서 보안 취약점 우려가 더욱 커지고 있다. 해당 건설사는 정부가 고시에서 허용한 세대간 홈네트워크 분리 기술에 VPN이 있는 만큼, 이를 채택해도 문제가 없다는 입장이다.

하지만 전문가들은 VPN이라고 하더라도 고시의 요구사항을 충족하지 못하는 VPN 방식은 배제해야 한다는 입장이다. 남우기 회장은 "VPN이니까 괜찮다는 논리는 납득하기 어렵다"면서 "VPN이니까 괜찮다면 보안 취약점이 널리 알려진 PPTP VPN도 사용할 수 있다는 결론으로 이어진다"고 했다. PPTP VPN 방식은 보안 취약점의 한계 탓에 정보통신업계에서 사용을 지양하고 있다. 그는 "SSL VPN 내장 월패드의 취약점이 드러난 이상 안전한 솔루션을 사용하는 게 바람직하다"고 했다.

홈네트워크 시공 현장에서 감리 업무를 수행하는 정보통신기술자도 "아파트 건설사들이 '싼 맛'에 SSL VPN 내장 월패드 도입을 밀어붙이는 것 같다"면서 "홈네트워크를 해킹하려는 해커 입장에서는 매우 유리한 환경이 조성될 것"이라고 지적했다. 그는 이어 "SSL VPN은 월패드에 접근해 기기 제어권을 탈취하는 공격에 대응할 수 없다"면서 "제어권이 탈취되면 데이터 암호화도 무력화될 수밖에 없기 때문에 이를 채택하지 말아야 한다"고 의견을 냈다.