사물인터넷(IoT)에 대한 관심이 점점 고조되는 만큼, 보안 위협을 우려하는 목소리도 점점 커지고 있다.
IoT가 자리를 잡기 위한 전제조건 중 하나가 보안이라는 점에는 이견이 없다. IoT 자체도 아직 두루뭉술하게 비춰지는 상황에서 IoT 보안 역시 디테일이 한참 부족한 것이 현실이다.
이런 가운데 미국 지디넷은 해외 보안전문가들의 말을 빌어 IoT가 기업 보안 환경에 어떤 변화를 줄 지에 대한 몇 가지 아이디어를 제시해 눈길을 끈다. 핵심은 데이터 보호다. 이를 위해서는 데이터가 오가는 접점, 데이터가 통과하는 관문 역할을 하는 게이트웨이에 대한 보안에 초점을 맞춰야 한다는 것이다. 결국 클라우드를 기반으로 한 보안 서비스가 대세가 될 것이란게 기사의 결론이다.
■최우선 과제...기업용 IoT를 정의해야
기사에 따르면 가트너 얼 퍼킨스 애널리스트는 많은 기업들이 겪는 가장 큰 어려움은 그들이 정확히 IoT로 뭘 할 수 있는지 정의하는 일이라고 밝혔다. 사이버 보안은 그다음에 고민해야할 일이라는 것이다.
IoT 도입 계획을 세울 때 자사 비즈니스에 어떤 영향을 미칠 수 있는지에 대한 목표를 분명히 해야 한다. 이를 위해서는 해당 기업이나 조직이 IoT로 뭘 이루려고 하는 것인지, 이를 이행하기 위한 툴은 뭐가 있는지를 파악해야 한다.
그러나 계획을 세워도 실제로 자사 시스템에 적용하기 위해서는 공통 경로를 거쳐야 한다. 그러려면 기기, 네트워크, 일부 클라우드 기반 서비스 등이 필요하다. IT기술 연구 및 자문 기업인 451리서치 소속 브라이언 패트리지 연구원은 이러한 (IoT를 구성하는) 계층은 초기단계에서부터 안전하게 구축되지 못하면 보안위협에 노출될 잠재적인 가능성이 있다고 말했다.
IoT는 기본적으로 상호연결성(interconnectivity)이 핵심이다. 이 같은 특징은 복잡성을 초래한다. 사이버 보안 및 디지털포렌식 전문회사 리파스 창업자이자 보안전문가인 온드레이 크레헬은 복잡성이 IT보안 문제를 초래하는 원인이자 보안의 가장 큰 적이라고 설명했다.
따라서 자사 시스템에 IoT 요소를 도입하는 일은 다면적인 작업이라는 점을 알아야 한다는 설명이다. 보안성을 높이면서도 효율적으로 시스템이 운영되도록 필요한 기술 요소들을 적절하게 배치할 필요가 있다는 것이다.
■IoT 보안 핵심은 '데이터'에 대한 보호
지디넷이 인용한 보안전문가들은 IoT에서 무엇보다 중요한 것은 '데이터' 보호라고 주장한다.
데이터는 IoT의 생명선이다. 따라서 IoT 보안 역시 이러한 데이터를 중심으로 한 보호대책을 마련할 필요가 있다. 기기와 애플리케이션 영역에 대한 보안 역시 투자할 만한 가치가 있지만 데이터 보다 역량을 집중해야 한다는 것이다.
패트리지 연구원은 IoT 환경에서 데이터를 수집, 전송하는 과정에서 보안전문가들이 겪을 수밖에 없는 3가지 문제가 있다고 설명했다.
첫 번째는 해당 시스템에 접속하지 않은 사용자들로부터 데이터를 지켜내는 일이다(Confidentially challenge). 두 번째는 네트워크를 거쳐 전송되는 데이터들이 임의로 수정되거나 발견되지 않고, 중간에서 훔쳐보지 못하도록 하는 작업이다(Intergrity challenge). 끝으로 해당 기업이 확보한 데이터가 알려진 소스로부터 왔는지에 대해 확신할 수 있도록 해야한다(Authentication challenge).
아직까지 IoT는 많은 지식노동자들 입장에서는 소설과 같은 얘기다. 실제로도 IoT 기반 시스템이 기업 환경에 제대로 도입돼 활용할 수 있게 되기까지는 많은 시간이 걸릴 것으로 전망이 심심찮게 목격된다. 그럼에도 불구하고 퍼킨스는 IoT는 기업 노동자들이 데이터를 수집, 처리, 저장, 배포하는 전통적인 방식을 파괴시킬 것이라는 점을 이해할 필요가 있다고 밝혔다.
■게이트웨이를 지켜라
데이터와 데이터베이스(DB)는 다르다는 점을 파악해야한다. DB는 일종의 은행과 같아서 금고에 저장된 돈을 지키면 되지만 데이터는 현금수송차량처럼 항상 움직이고 있기 때문에 은행 금고와는 다른 방식으로 보호해야 한다. IoT 환경에서 지켜내야 하는 것은 항상 움직이고 있는 데이터라는 설명이다. 모든 기기가 서로 연결된 환경에서 데이터들이 수많은 네트워크 상 어떤 곳에서 교환이 이뤄지는지에 대한 포인트를 파악하고 이곳에 대한 보호에 집중해야 한다는 것이다.
일반적으로 IoT 기기들은 보안코드를 다룰만큼 충분한 프로세싱 파워가 없다.
따라서 이들 기기가 생산하고 전송하는 데이터를 보호하는 작업에 초점이 맞춰져야 한다. 예를 들어 인터넷을 통해 정보를 전송하는 게이트웨이를 보호하는 일이 곧 수많은 여러 IoT 기기 자체를 보호하는 일이나 다름없다는 설명이다.
퍼킨스 연구원은 목표 시스템을 해킹해 정보를 유출시키거나 장애를 일으킬 목적을 가진 공격자들은 반드시 네트워크에 물려 있는 게이트웨이나 데이터를 주고받는 네트워크 포인트를 노릴 것이라고 밝혔다.
■IoT는 보안산업 성장 절호 기회
일각에서는 현재 직면해 있는 보안적인 문제 때문에 기업들이 IoT 도입을 꺼려할 것이라고 지적한다. 그러나 패트리지 연구원은 충분히 IoT 보안성을 높일 수 있고, 오히려 보안산업 자체가 성장할 기회도 존재한다고 말한다.
관련기사
- 인텔, 獨 IoT칩 제조사 랜틱 인수2015.02.05
- IoT 강풍…"10년뒤 인터넷 기기 1조대 돌파"2015.02.05
- 전자정부SW-IoT 보안센터 개소2015.02.05
- 지디넷코리아, 2015년 IoT 전망 백서 발간2015.02.05
핵심은 이전처럼 단순히 기기에 대한 보안이나 일부 보안솔루션을 설치하는 방식에서 벗어나 데이터 흐름에 따라 상호작용할 수 있도록 발상을 전환시켜야 한다는 것이다. IoT 시대 보안은 기술과 서비스가 동시에 이뤄져야 한다는 설명이다.
결론적으로 이러한 흐름은 클라우드를 기반으로 한 보안서비스에 힘이 실릴 것으로 전망된다. 이미 SaaS, PaaS, IaaS 등 많은 IT서비스가 클라우드 기반으로 넘어가고 있는 추세인 것처럼 보안 역시 네트워크 포인트, 게이트웨이를 지키기 위해 단순 설치방식을 벗어나 클라우드를 통한 서비스 개념으로 제공될 가능성이 높아진 것이다.