지난 21일 경남 한 아파트에서 홈네트워크 해킹으로 현관문을 여는 모습. 김성현 기자

“어, 한 번에 현관문이 열리네?”

컴퓨터공학 전공 대학원생 ‘해커’가 일면식도 없는 한 아파트 세대의 현관문을 여는 데 걸린 시간은 고작 20분이었다.

<부산일보> 취재진은 지난 21일 오후 경남의 한 대단지 아파트를 찾았다. 홈네트워크의 보안 상태를 확인하기 위해 입주자대표회의의 동의를 얻어 한 세대를 방문한 뒤 곧장 현관문 해킹에 들어갔다.

이 아파트 단지는 2018년 준공을 한 아파트로, 출입문, 엘리베이터, 전등 등 세대 내 대부분의 장치를 제어하는 ‘지능형 홈네트워크(이하 홈네트워크)’를 갖추고 있었다.

해커가 명령어를 입력하고 엔터를 치자 현관문은 ‘띠리릭’ 소리를 냈다. 도어락을 전혀 건드리지 않았지만, 거짓말처럼 열린 것이다. 집주인은 “이렇게 간단히 현관문이 열린다니 도저히 믿을 수 없다”고 당황해했다.

지난 21일 경남 한 아파트에서 홈네트워크 해킹으로 아파트 내부를 확인하는 모습. 김성현 기자

가장 충격적인 부분은 월패드에 있는 카메라를 통한 사생활 침해였다. 입주민 간의 화상통화를 위해 설치된 카메라를 외부인이 집주인 몰래 켜서 고스란히 거실을 훔쳐볼 수 있다. 카메라 앞에 서 있는 취재진의 모습이 노트북 화면에 그대로 떴다. 거실 소파와 액자는 물론 사람까지 포함한 세대 내부가 그대로 노출됐다. 사진은 물론 동영상 촬영까지 가능하다.

<부산일보> 취재진과 동행한 ‘해커’ 역은 컴퓨터 전공 대학원생 2명이다. 홈네트워크 해킹은 이번이 처음이라고 밝혔다. 이들이 해킹을 준비하는 데에 걸린 시간은 고작 하루 정도. 월패드 안에 있는 프로그램을 추출하고 코드를 분석해 어떤 기능이 있는지, 취약점을 분석하는 데 걸린 시간이다.

준비를 마친 이들은 현장에 도착해서 특별한 장비 없이 노트북 한 대만으로 20분 만에 세대 내 홈네트워크 모든 장비를 제어 권한을 얻어냈다.

전국 대부분 아파트가 홈네트워크를 법적 기준대로 시공하지 않아 입주자들의 큰 피해(부산일보 4월 15일 자 1면 등 보도)가 예상된다는 〈부산일보〉 보도가 실제로 확인된 것이다.

현관문을 여는 데 성공한 ‘해커’가 노트북에 재차 명령어를 넣자 이번에는 거실 등이 꺼졌다. 한 번 더 반복하니 다시 켜졌다.

여러 차례 반복해도 마찬가지였다. 집주인이 스마트폰으로 제어할 수 있는 권한이 해커의 노트북으로 고스란히 넘어간 것이다. 가스 밸브도 마찬가지였다. 명령어를 입력하자 열려있던 밸브가 자동으로 잠겼다.

이들은 25도이던 난방 희망온도를 순식간에 30도까지 올리기도 했다. 이 모든 것은 집주인 핸드폰으로 제어가 가능한 홈네트워크를 해킹했기에 가능한 일이었다.

더 황당한 것은 이 아파트 단지가 한국정보통신진흥협회로부터 홈네트워크 정보통신인증 AA 등급을 받은 곳이라는 점이다. 조명, 난방, 침입감지기 등 홈네트워크에 연동되는 설비 갯수로 등급을 매기는데, 이 아파트는 총 17개의 설비가 연동되어 홈네트워크 기능이 우수하다는 판정을 받은 것이다. 하지만 정작 가장 중요한 보안 설비는 기준에 들어있지 않다. 오히려 보안 설비가 없어 해커가 집 안의 17개 설비를 집주인처럼 통제할 수 있다. 보안등급이 높을수록 해킹 피해가 커지는 모순이 발생한다.

거실 벽면에 부착돼 홈네트워크를 조정하는 월패드. 김성현 기자

해킹에 참여한 대학원생들은 한 세대가 해킹에 뚫리면 1500세대 아파트 전체의 제어권을 손안에 넣을 수 있다고 설명했다. 단지 내 모든 세대의 네트워크는 한 서버로 연결돼 있기 때문이다.

이 같은 아파트 지능형 네트워크의 '보안 구멍'은 세대별로 해킹을 막는 최소한의 방화벽 역할을 하는 ‘홈게이트웨이’가 제대로 시공되지 않아서다. 정부는 2008년 관계 법령을 신설하고 이듬해인 2009년 국토부, 과기부, 산자부 등 3개 부처 장관 공동으로 설비설치와 기술기준을 최초로 고시했다. 의무 설비 20가지 중 핵심은 정전 때 홈네트워크를 가동하는 ‘예비 전원장치’와 해킹을 방지하기 위한 ‘홈게이트웨이’다. 그러나 지자체와 시공사의 방관 속에 해킹에는 무방비 상태로 방치되어 있다. '지능형 홈네트워크'가 2010년부터 전국의 아파트에 본격적으로 시공되며 사물인터넷(IoT)의 핵심 시설로 자리 잡았지만, 보안 시스템은 거의 작동하지 않는 것이다.

이번 시연의 해커들은 “보통 은행이나 회사의 보안 프로그램에는 ‘안티 리버싱’을 적용해 외부인이 해킹을 못 하도록 하거나 속도를 늦추도록 한다”면서 “하지만 실제로 아파트 홈네트워크에는 그런 장치가 전혀 없었다”고 말했다. 또 그는 “IT 전공 대학생 정도만 되면 누구나 쉽게 할 수 있고, 인터넷에서 기본적으로 자료가 많아서 쉽게 따라 할 수 있을 것”이라고 덧붙였다.

해킹 대상은 인터폰이 아닌 모든 홈네트워크가 설치된 아파트라는 것이 이들의 설명이다. 인터넷만 연동되면 어떤 홈네트워크도 해커의 먹잇감이 될 수 있다는 의미다. 더 큰 문제는 아파트 밖이나 심지어 다른 도시에서도 마음만 먹으면 다른 지역의 아파트 해킹이 가능하다는 점이다. 이들은 “월패드 프로그램을 한 번 분석하기만 하면 그곳이 집 밖이던 심지어 서울에서도 무선으로 그 아파트 모든 세대의 현관문을 여는 것이 가능하다”고 전했다.

전문가들은 ‘스마트홈’ 시대를 대비해 홈네트워크 보안 문제를 해결해야 한다고 지적한다. 한국정보통신기술사회 남우기 회장은 “2년 전에 한 고등학생이 관리 시스템을 해킹해 수도권 아파트의 전기세를 0원으로 만드는 사례가 있었다”면서 “홈네트워크는 인터넷에 모두 노출된 구조로 스토킹을 포함한 심각한 보안 문제를 가지고 있지만, 여전히 관심이 부족하다”고 전했다.

남 회장은 “공공기관에서 주기마다 네트워크 취약점을 분석하듯이 아파트에도 정기적으로 보안을 점검해야 하고, 한 세대의 보안이 뚫리더라도 다른 세대로 확산되지 않도록 세대 간의 네트워크망 분리를 포함하는 근본적이 대책을 세워야 한다”고 덧붙였다.

김성현 기자 kksh@busan.com