먼저 해킹당한 건 정수기가 아니었어요. 바로 스마트 냉장고였죠. 새벽 3시, 냉장고 화면에 있던 가족 일정표가 싹 지워지고 서툰 영어로 0.5 비트코인을 요구하는 메시지가 나타났습니다. 제빙기는 얼음을 바닥에 쏟아붓기 시작했고, 내부 조명은 마치 무음 경보처럼 번쩍였습니다. 서로 연결된 편리한 기기들로 가득한 제 스마트 홈이 순식간에 부엌에서 인질극으로 변해버린 겁니다.

당황한 나머지 값비싼 비용을 들여 사이버 보안 전문가에게 전화를 걸어야 겨우 가전제품들을 되찾을 수 있었습니다. 그런데 그의 마지막 질문은 바닥에 얼어붙은 얼음보다 더 소름 끼치는 것이었습니다. "같은 네트워크에 연결된 정수기가 있으신가요?"

네, 그랬습니다. 그러자 갑자기 제가 가장 두려워하던 것이 더러운 물에서 전혀 다른 종류의 독, 즉 디지털 사보타주로 바뀌었습니다.

우리는 와이파이 보안을 강화하고, 노트북을 최신 버전으로 업데이트하며, 피싱 이메일을 경계합니다. 하지만 생명 유지에 필수적인 자원인 물을 직접적이고 물리적으로 제어하는 ​​장치를 네트워크에 연결할 때는, 마치 어린아이 장난감 수준의 보안만 갖춘 채 아무렇지 않게 생각합니다. 해킹당한 정수기는 단순히 고장난 가전제품이 아니라, 가장 사적인 영역에 대한 침해입니다.

'디지털 냉장고' 취약점: 공기청정기의 공격 표면

제 사이버 보안 전문가가 화이트보드에 유사점을 그려 설명해 주었습니다. 제 냉장고처럼, 제가 구입한 고급 "스마트" 정수기도 플라스틱 껍데기 안에 네트워크로 연결된 컴퓨터입니다. 공격에 노출될 수 있는 범위가 넓다는 뜻이죠.

• 취약한 앱/클라우드 포털: 해당 앱/포털을 제어하거나 데이터를 보기 위한 로그인은 종종 간단한 비밀번호, 심지어 기본 비밀번호로 보호됩니다.
• 구식이고 패치 불가능한 펌웨어: 대부분의 공기청정기는 "출시 후 신경 쓸 필요 없음" 방식입니다. 제조사는 제품 출고일 이후에는 보안 업데이트를 제공하지 않을 수도 있습니다.
• 지속적인 데이터 스트림: 이 기기는 끊임없이 사용량 데이터, 필터 상태 및 진단 정보를 제조업체 서버로 전송합니다. 이는 가정 내 생활 습관에 대한 잠재적인 데이터 유출로 이어질 수 있습니다.
• 물리적 제어 밸브: 이 부분이 가장 무서운 부분입니다. 솔레노이드와 밸브가 있어 물의 흐름을 켜고 끄거나 시스템을 세척할 수 있습니다.

악의적인 행위자의 손에 들어가면 이는 이론적인 위험이 아닙니다. 이는 피해를 초래하는 설계도와 같습니다.

상상도 못 할 시나리오: 사소한 불편함에서 악몽으로

추상적인 "데이터 유출"이라는 개념을 넘어, 구체적이고 그럴듯한 공격 사례들을 살펴보겠습니다.

1. 랜섬웨어 공격으로 인한 계정 잠금: 가장 흔한 시나리오입니다. 정수기 인터페이스가 랜섬웨어에 의해 잠겨 버립니다. 화면이나 앱에 기능 복구를 위한 결제 요구 메시지가 나타납니다. 필터 상태를 확인할 수 없고, 세척 사이클을 실행할 수 없으며, 심한 경우에는 물 공급이 중단되어 수분 섭취가 불가능해질 수도 있습니다.
2. "필터 사기" 수법: 해커가 시스템 보고 시스템에 접근하여 모든 필터와 역삼투압(RO) 멤브레인이 심각하게 고장 났다는 허위 경고를 띄웁니다. 경고에는 고가의 위조 부품을 판매하는 가짜(또는 악성) 온라인 쇼핑몰 링크가 포함되어 있어 즉시 교체를 유도합니다. 해커는 사용자가 기기에 대한 신뢰를 악용하여 사기를 칩니다.
3. 시스템 벽돌화 공격: 스크립트 또는 공격자가 손상된 펌웨어 명령을 전송하여 제어 보드를 영구적으로 고장내는 공격입니다. 이 경우 메인보드를 완전히 교체하기 전까지는 기기가 작동하지 않고 누수만 발생하는 고철 덩어리가 됩니다.
4. 물리적 파괴 행위(최악의 경우): 더 깊숙이 접근한 공격자는 이론적으로 시스템의 물 내림 및 배출 밸브를 불규칙적으로 작동시킬 수 있습니다. 이로 인해 수격 현상(압력 급증)이 발생하여 배관 연결부가 파열되고 캐비닛과 벽 내부에 물이 새어 들어올 수 있습니다. 이는 단순히 물을 오염시키는 것이 아니라, 기기를 무기화하여 집안을 오염시키는 행위입니다.

7단계 디지털 물 안전 프로토콜

냉장고 사고 이후로 저는 연결된 모든 가전제품, 특히 공기청정기에 이 프로토콜을 적용했습니다. 여러분도 그렇게 하시는 게 좋을 거예요.

1. 게스트 네트워크에 격리하세요: IoT 기기 전용으로 별도의 Wi-Fi 네트워크를 만드세요(대부분의 최신 라우터는 이 기능을 제공합니다). 공기청정기, 조명, 냉장고는 이 네트워크에 연결하고, 노트북, 휴대폰, 업무용 기기는 메인 네트워크에 연결하세요. 이렇게 하면 게스트 네트워크에 보안 침해가 발생하더라도 그 영향권에서 벗어날 수 있습니다.
2. 기본 설정을 완전히 바꾸세요: 공기청정기 앱과 웹 포털의 기본 사용자 이름과 비밀번호를 강력하고 고유한 암호로 변경하세요. 비밀번호 관리자를 사용하세요.
3. 앱 권한 확인: 공기청정기 모바일 앱에서 작동에 절대적으로 필요한 권한(위치, 연락처 등)을 제외한 모든 권한을 거부하세요. Wi-Fi는 필수입니다.~ 아니다당신이 어디에 있는지 알아야 해요.
4. 가능하다면 원격 접속을 비활성화하세요. 앱을 통해 어디서든 기기를 제어할 수 있나요? 집에서만 필요하다면 "로컬 네트워크 전용" 모드가 있는지 확인해 보세요.
5. 물리적인 "Wi-Fi 킬 스위치"가 있는지 확인하세요. 일부 모델에는 Wi-Fi를 끄는 작은 버튼이 있습니다. 스마트 기능을 자주 사용하지 않는다면 Wi-Fi를 항상 꺼두세요. 스마트 기능이 없는 공기청정기가 더 안전합니다. 필터 교체 시기를 캘린더에 수동으로 알림 설정해 두세요.
6. 네트워크를 모니터링하세요: Fing과 같은 간단한 네트워크 스캔 도구를 사용하여 집 네트워크에 연결된 장치를 확인하세요. 알 수 없는 장치가 보이면 조사해 보세요.
7. 구매 전 중요한 질문을 하세요: "스마트" 공기청정기를 알아볼 때는 해당 회사 고객지원팀에 이메일을 보내 다음과 같은 질문을 하세요. "취약점 공개 정책은 어떻게 되나요? 연결된 기기에 대한 보안 패치는 얼마나 자주 배포하나요?" 만약 답변을 받지 못한다면, 그것이 바로 답입니다.