사물인터넷(IoT), 핀테크, 클라우드 등 새로운 패러다임의 확산은 과거에 없던 새로운 보안 비즈니스 모델의 탄생으로 이어지는 양상이다. 빅데이터, 클라우드에 보안이 버무려지는, 이른바 기술과 비즈니스 융합도 급물살을 타고 있다.
최근 주목받고 있는 신규 보안 시장은 IoT다. 구체적으로는 IoT 서비스에 보안 내재화, IoT 보안 협의체 구성, 사이버 위협 종합 대응체계 마련, 민간 중심의 인증 체계 도입이 핵심이다.
IoT 보안은 기존에 있던 것을 대충 뜯어 고치는 접근 방식으로는 답이 없다는 게 전문가들 설명이다. 미래창조과학부 정보보호정책과 홍진배 과장은 미국 현지 보아 업체들을 직접 탐방했던 경험을 근거로 IoT 보안제품은 50% 정도는 새로 개발해야할 것이다고 강조했다.
홍 과장이 IoT 보안 관련해 참고할만한 회사로 꼽은 회사는 시만텍. 시만텍 내부에서 IoT(Internet of Things)는 '취약한 인터넷(Internet of Vulnerability)'으로도 불린다.
IoT 보안과 관련해 시만텍이 특히 강조하는 것은 IoT 시스템을 개발하는 시작단계에서부터 보안성에 대한 검토가 이뤄져야 한다(Security by Design)는 것이다. 제조사, 보안업체가 제품 설계 단계에서부터 보안을 고려하는 것은 물론 게이트웨이, 데이터센터 등 각 단계별 보안이 함께 이뤄져야한다는 조언이다.
시만텍에 따르면 지난해 6월 애플 앱스토어 내 '헬스 및 피트니스' 카테고리에 있는 무료 iOS 애플리케이션(앱)을 분석한 결과 웨어러블 기기용 앱 대부분이 외부에서 위치추적이 가능한데다가 암호화 되지 않은 평문(clear text) 형태로 개인데이터를 전송하는 것으로 나타났다. 이밖에 스마트홈을 위해 필요한 '홈오토메이션 허브'의 경우 공격자가 허브 자체를 공격하는 것은 물론 이와 연결된 다른 장치까지 제어할 수 있는 것으로 조사됐다.
실전에서 중요한 문제 중 하나는 IoT 환경에서 어떻게 안전하게 기기들 간에 통신할 수 있게 하는가이다. 지난 1월 KT와 퀄컴이 공동개발에 착수한 'LTE 기반 IoT 보안 게이트웨이 솔루션' 사업이 참고가 될 만하다. (관련기사 : KT-퀄컴, IoT 보안 솔루션 공동 개발착수)
IoT 보안을 준비하고 있는 업체 관계자들에 따르면 IoT 보안은 크게 두 가지 영역으로 이뤄진다. IoT를 위한 센서들 간 전용 통신 구간과 LTE로 대표되는 일반 통신 영역이다.
제조공장 내 계측기들 간 통신을 예로 들 수 있다. 이전까지 이들 기기들 간에 정보를 교환하기 위해서는 로컬네트워크 형태의 유선망이 활용됐다. 그러나 IoT 시대에는 와이파이, 블루투스, 지그비 등 무선 통신 기술이 유선망을 대체할 것으로 전망된다. 그 다음 각각 계측기들을 통해 모은 정보를 다시 무선 LTE망에 태워 담당자가 어느 곳에서도 관리할 수 있게 하는 망이 필요하다. 이중 KT, 퀄컴이 집중하고 있는 것은 보안 게이트웨이, 즉 모은 정보들을 LTE망을 통해 전송할 때 필요한 소형 기기다.
이와 달리 아직 미개척지로 남아있는 분야는 계측기들 간 정보를 교환하는 망에 대한 보안이다. 내부 기기들 간 통신을 안전하게 관리하기 위해서는 소프트웨어 방식으로 이전보다 훨씬 가벼운 암호화 알고리즘(경량 암호화 알고리즘)을 적용한 가상사설망(VPN) 기능을 구현할 수 있어야 한다.
이러한 개념은 산업분야 뿐만 아니라 스마트홈, 스마트카 등 다양한 IoT 영역에 확대적용할 수 있다. 한솔넥스지와 같은 VPN 전문회사가 이 분야에 주목하고 있다. 퓨쳐시스템의 경우 산업용 IoT 영역에 속하는 M2M 영역에 주목하고 있다. 제조공장 등 산업분야에 사용되는 자동화 설비들 간에 자동으로 통신을 주고받으며 작업을 수행하는 과정에 필요한 보안에 주목하고 있다는 설명이다.
암호화 통신 기능을 적용한 M2M 라우터를 공장 자동화 설비에 장착해 해당 설비에서 발생할 수 있는 오류 등을 원격에서도 손쉽게 점검, 예방정비를 할 수 있도록 하겠다는 것이다. 이현규 퓨쳐시스템 IoT 사업본부장은 IoT가 개인영역에까지 본격화 되면 결국 가전기기 등 내부에 탑재된 시스템반도체(SoC) 안에 혹은 별도의 소형 보안칩을 탑재하는 형태로 갈 것으로 본다고 전망했다.
실제로 삼성전자와 함께 퀄컴, 시스코시스템즈, 텍사스인스트루먼트 등 글로벌 반도체 제조사들이 스마트기기용 칩셋을 만들겠다는 계획 안에는 IoT 환경을 고려한 보안기능을 기본탑재하겠다는 계획이 포함돼 있다.(관련기사 : 갈 길 먼 IoT 보안, 시작은 M2M부터)
네트워크접근제어(NAC) 솔루션 전문회사인 지니네트웍스의 경우 IoT 시대에 NAC기술이 더 광범위하게 쓰일 것으로 내다봤다. 기존에도 무선 인터넷 공유기 등에 대한 접근권한을 관리하는 역할을 해 온 만큼 수많은 기기들이 서로 연결되는 시점에서 NAC의 중요성이 더욱 강조될 수 있기 때문이다.
이 회사는 소프트웨어정의네트워킹(SDN) 환경에서 NAC를 활용할 수 있는 기술을 3분기 내에 개발하는 것은 물론 팔로알토네트웍스, 나임네트웍스 등 국내외 회사들과 협업한다는 계획이다.
임베디드 소프트웨어 전문회사인 MDS테크놀로지 분석에 따르면 마이크로소프트(MS)의 경우 이 문제에 대해 '보안 개발 라이프 사이클(Security Development Lifecycle, SDL)'이라는 방법을 도입해 제품을 개발하고 있다. 쉽게 말하면 IoT 기반 솔루션을 개발하는 단계에서부터 소스코드에서 나올 수 있는 보안취약점을 최대한 제거해야한다는 설명이다.
이와 관련 버라이즌이 네트워크 장비를 납품할 때, GM이 텔레매틱스 모듈을 테스트할 때, 스마트 의료장비 제조사가 자사 장비의 보안성을 점검할 때 모두 '퍼징(Fuzzing)'이란 기술을 활용하고 있다고 MDS테크놀로지는 밝혔다.
퍼징은 네트워크 장치의 안전성을 테스트하기 위해 의도적으로 타당하지 않은 데이터를 보내 시스템의 오류를 검출하는 기술이다. MS의 SDL, 코데노미콘이 개발한 디펜직스(Defensics) 등이 모두 퍼징을 통한 테스트를 수행한다. 얼마나 비정상 데이터를 효과적으로 처리할 수 있는지를 사전점검하는 것이다.
핀테크, 간편결제 이슈도 새로운 보안 비즈니스 모델의 탄생으로 이어지는 모습이다. 그동안 국내 보안회사들의 핵심 고객이었던 금융권에서는 편리하면서도 안전한 금융보안솔루션에 대한 수요가 늘고 있다. ID와 비밀번호만으로도 편리하게 결제할 수 있도록 하는 간편결제 수요 증가로 금융과 IT기술을 융합해 새로운 비즈니스 모델을 만들겠다는 핀테크 스타트업들이 국내서도 늘었다.
이에 따라 지금까지 공인인증서 기반 솔루션, 백신, 개인방화벽, 키보드보안으로 구성되는 일명 '보안 3종 세트'만으로는 사업의 지속 가능성을 갖기가 힘들어졌다. 실제로 액티브X, NPAPI 등 플러그인 기반 보안 3종 세트에 대한 불만이 높아지면서 웹표준(HTML5)에 기반한 보안기술에 대한 수요가 늘고 있다.
사용자 불편을 최소화 하면서도 보안성을 높일 수 있는 방법으로 앞단보다도 뒷단에서 어떻게 보안성을 높일 수 있을지가 화두로 떠오른 가운데, 비자, 마스터카드, 페이팔 등이 구축해왔던 이상금융거래탐지시스템(FDS)도 지난해부터 카드사, 증권사, 은행 등으로 확산 추세다. (관련기사 : 카드사 정보유출 사태 1년…달라지는 금융보안)
기존 카드사들을 중심으로 운영돼 온 FDS는 과거 사용자가 금융업무를 보는 패턴을 분석해 거래의 이상여부를 판단하는 기술이다. 주로 오후에 계좌이체나 온라인 쇼핑결제를 해왔던 사용자가 갑자기 새벽에 업무를 볼 때 추가적인 인증수단을 요구하거나 사기 위험성이 높다고 판단될 경우 거래를 중지하는 식이다.
FDS의 오래된 선배 격인 비자, 마스터카드의 경우 해외여행자들이 부정 사용자처럼 인식돼 거래가 지연되거나 중단되는 사례를 막기 위해 고객의 스마트폰 위치정보를 활용하는 앱을 선보이기도 했다.(관련기사 : 스마트폰 위치정보로 FDS 불편함 없앤다)
FDS와 관련 금융보안연구원 관계자는 페이팔, 비자, 마스터카드 등이 운영하는 FDS는 결국 '리스크 관리'라는 경영학적인 관점에서 나온 것이라고 설명했다. FDS를 통해 거래 차단 혹은 지연율을 높이면 자연스레 해당 회사의 수익은 떨어지게 된다. 반대로 FDS를 느슨하게 적용할 경우 거래량 자체는 늘어날 수 있지만 부정거래 등으로 인한 피해보상 등 손실이 늘어나게 된다. 따라서 리스크를 관리하면서 수익을 최대화할 수 있도록 절묘한 FDS 강도를 설정하는 '운영의 묘'가 중요하다는 것이다.
관련기사
- 기술-규제 대격변…보안 시장 새판 짜진다2015.03.01
- 파수닷컴, 기업용 SW에 연간 정액 가격정책 도입2015.03.01
- SKT-시만텍 제휴, 클라우드 보안 탄력받나2015.03.01
- 연이은 대형사고에도 보안 업계 실적 '흐림'2015.03.01
FDS에 활용할만한 이상거래패턴을 얼마나 많이 확보해 정확히 이상거래를 찾아낼 수 있는가도 중요한 문제다. 현재 은행권에서는 신한, 국민, 농협, 외환, 하나, 우리, 씨티, 경남, 전북, 부산은행이 이러한 시스템을 구축했으며, 6개 은행이 올해까지 FDS 구축을 목표로 하고 있다. 증권사도 NH투자, 대신, 메리츠, 미래에셋, 신한금융투자, 유안타, 하이투자증권 등 8개사가 구축을 완료했으며 24개사가 올해 말 구축을 완료한다는 계획이다.
박근혜 대통령의 천송이 코트 발언 이후 정부에서 그 어느 때보다도 HTML5 기반 웹표준 환경 조성에 공을 들이고 있는 만큼 아예 순수 웹표준에 기반한 새로운 보안 기술도 서서히 확대될 것으로 보인다. 금융권의 경우 글로벌 웹표준인 HTML5를 기반으로 공인인증서 서비스를 구현하는 방안을 논의중이다.