[뉴스웍스=박광하 기자] 신축 공동주택에 설치되는 일부 홈네트워크 설비의 보안 취약점이 논란을 낳고 있다.

한국토지주택공사(LH)를 비롯해 다수 민간 건설사가 도입하려는 홈네트워크 장비 중 해킹에 취약한 제품이 있다는 지적이 나오지만, 이 같은 경고는 무시되고 있다. 정보통신기술(ICT) 업계에서는 건설사들이 전문가 의견을 묵살할 경우 수년 내에 해킹 사건이 발생해 천문학적인 손해배상 소송에 직면할 수 있다고 우려를 나타냈다.

뉴스웍스 취재를 종합하면 LH와 민간 건설사들이 신축 아파트 현장에 SSL VPN 클라이언트를 내장한 세대단말기(월패드)를 도입 중이거나 검토하고 있는 것으로 확인됐다. 월패드는 아파트 등 공동주택 벽면에 설치된 홈네트워크 기기로, 방문객 출입 통제, 가전제품 제어, 세대 간 화상통화 등의 기능을 수행한다.

정부는 2021년 12월 '지능형 홈네트워크 설비 설치 및 기술기준(이하 고시)'을 개정해 세대간 홈네트워크 분리를 의무화했다.

같은 해 대규모로 발생한 아파트 입주세대 홈네트워크 해킹 사건에 따른 조치다. 보안 전문가로 알려진 해커가 2021년 8월부터 11월까지 전국 약 600개 아파트 단지 40만여 가구의 월패드를 해킹했던 사건이다. 범인은 아파트 중앙관리 서버와 월패드를 차례로 해킹해 권한을 탈취한 뒤 월패드와 연결된 카메라로 거실 등 아파트 내부 공간을 불법 촬영했다. 

고시 개정 전에는 공동주택 내 모든 세대가 하나의 홈네트워크를 공유했다. 이런 환경에서는 해커가 한 세대의 홈네트워크기기를 해킹하면 다른 세대 장비에도 쉽게 접근할 수 있었다. 개정 고시는 각 세대부터 홈네트워크를 총괄 관리하는 단지서버까지의 네트워크를 다른 세대와 물리적 또는 논리적으로 분리하도록 했다.

그런데 업계에서는 LH와 몇몇 건설사가 개정 고시의 요구사항을 잘못 이해한 채 '송수신 데이터를 암호화하면 문제가 없다'는 입장을 보이고 있다고 비판한다. 이들이 이런 입장을 바탕으로 도입하려는 제품이 'SSL VPN' 접속 클라이언트를 내장한 월패드다.

전문가들은 SSL VPN 기술이 월패드와 단지 서버 간 통신 데이터를 암호화하는 기능을 갖추고 있지만, 해커가 다수 세대의 월패드에 직접 접근하는 것을 막지 못한다고 강조한다. SSL VPN 월패드만 도입하지 말고, 한 세대에서 다른 세대의 홈네트워크로 직접 접근하지 못하도록 추가적인 조치를 해야 한다고 지적하고 있다.

정동영·김정호 더불어민주당 국회의원이 지난 3월 공동개최한 '공동주택 등 건축물 이용자 안전을 위한 정보통신설비 문제점 개선 방안 토론회'에서도 이 문제점이 언급된 바 있다.

토론회에서 정보보호 전문가인 정승기 솔티랩 대표는 "SSL VPN 클라이언트를 내장한 월패드로 단지 서버와 통신하는 경우, 월패드의 IP와 포트 번호 등 네트워크 정보가 노출돼 악의적인 공격자가 월패드에 손쉽게 접근할 수 있다"고 설명했다. 그는 "SSL VPN이 아닌 오픈VPN이나 와이어가드 등 다른 VPN 기술을 사용하더라도 월패드 내에 소프트웨어(SW) 클라이언트로 VPN 통신을 구현하는 방식은 모두 같은 취약점을 갖고 있다"고 덧붙였다.

하지만 건설사들은 SSL VPN 방식을 세대간 홈네트워크 분리에 적용하지 말아야 한다는 전문가 의견을 묵살했다.

LH는 2023년 9월 세대간 홈네트워크 분리 기술로 VPN만을 사용한다는 내용의 '입주민이 안심할 수 있는 주거환경 조성을 위한 스마트홈 보안설계기준 개선안'을 마련했다. 개선안은 HW 또는 SW로 VPN을 구현하는 방식을 채택할 수 있도록 했다. 그러면서 세대간 홈네트워크 분리를 위한 세대당 도입 예산은 8만~11만원 수준으로 책정했다.

업계는 법규를 충족할 수 있는 방식을 적용하려면 세대당 20만~30만원이 필요하다고 분석했다. LH가 관련 예산을 세대당 10만원 내외로 정한 건 사실상 SSL VPN 월패드만 쓰려는 속셈이라고 평가했다.

민간 건설사들마저도 LH의 움직임에 편승하려는 모습이 관측된다. 한 아파트 신축 현장에서 감리를 수행하는 기술자는 통화에서 "(건설사 측에서) SSL VPN 월패드를 설치하겠다고 해서 곤란한 상황"이라며 "이런 제품이 문제 없다고 감리 통과시키면 나중에 내 책임이 될 것"이라고 말했다.

심지어 정부에서도 이 같은 취약점을 눈감아 달라고 기술자 단체에 '협조'를 구하기도 한 것으로 알려졌다.과학기술정보통신부 관계자가 한국정보통신기술사회를 찾아 "SSL VPN 월패드를 설치하는 것만으로도 개정 고시를 충족하는 것이라고 판단해달라"고 요청했다는 것이다. 

이에 대해 기술사회는 "개정 고시에서 정한 가상사설망(VPN), 가상근거리통신망(VLAN), 암호화기술 등은 세대별 홈네트워크를 논리적으로 분리하는 데 사용할 수 있는 기술을 열거한 것"이라며 "어떤 기술을 사용하든지 그건 건설사들의 자유지만, 정보통신기술사를 비롯한 정보통신감리원들은 고시의 요구사항을 충족하지 못하는 경우에는 감리 과정에서 이를 지적할 수밖에 없다"고 답변했다. 사실상 정부의 요청을 거부한 것이다. 

업계는 건설사들의 이 같은 행태가 제2의 하자 소송으로 이어질 수 있다고 경고했다.

익명을 요구한 ICT 전문가는 통화에서 "전문가들의 지적에도 불구하고 SSL VPN 탑재 월패드만 도입하면 법규를 충족한 것이라는 건설사들의 '믿음'은 그야말로 맹신에 불과하다"고 질타하면서 "그런 식으로 건립된 아파트 단지는 2021년 해킹과 같은 문제를 다시 겪게 될 것이고, 그렇게 되면 입주자들의 항의와 천문학적인 손해배상 요구에 직면하게 될 것"이라고 우려했다. 그러면서 "과거 KS 미준수 등 홈네트워크 법규 위반으로 패소를 거듭하는 건설사들이 다른 소송 위험을 스스로 만들고 있다"며 "당장의 비용 절감이 훗날의 막대한 손실로 돌아오게 될 것"이라고 지적했다.