IoT보안 강화하려면 기기-암호화 잡아라

컴퓨팅입력 :2015/07/09 17:20

손경호 기자

사물인터넷(IoT)에 대한 보안이 제대로 이뤄지지 않으면 사람의 목숨까지 위협할 수 있는 사고가 발생할 수 있다는 점에는 이견이 없다. 그러나 여전히 뭘, 어떻게 보호해야할지에 대해서는 명확한 청사진이 나오지 않고 있다.

이런 와중에 국내외 보안기업, 기관 등에서 공통적으로 강조하는 것은 사용자와 직접 연결된 IoT기기를 어떻게 보안할 것인가, 통신내역을 안전하게 송수신하기 위해 어떻게 암호화 기술을 쓸 것인가에 대해서다. IoT기기와 암호화의 중요성이 부각되기 시작한 것이다. 정보가 송수신되는 게이트웨이, 클라우드서버 등에 대한 보안은 기존에도 이미 수많은 솔루션들이 개발돼 활용되고 있는 만큼 IoT를 위해 특화된 것이라고 보기는 힘들다.

8일 개최된 K-ICT 국제정보보호컨퍼런스에서 IoT보안을 주제로 발표한 인포섹 기술혁신본부 강용석 본부장은 "IoT보안에서 중요한 것은 기기에 대한 통제와 암호화 기술을 적용하는 것"이라고 강조했다.

넓은 범주에서 IoT기기에 포함될 수 있는 것은 무선인터넷공유기, 스마트폰, 스마트워치, 커넥티드카, 당뇨병 환자들을 위한 인슐린펌프, IP카메라 등을 꼽을 수 있다. 이와 함께 조도, 습도, 온도, 동작 등을 인식하는 센서와 센서로부터 정보를 전달받아 이를 클라우드 기반 서버에 전송하는 IoT전용기기들도 출현을 예고한다.

문제는 수많은 사용자들이 이들 기기, 센서에 접속할 경우 누가 접속했는지, 접속한 사용자가 믿을 수 있는 사람인지를 확인하기가 어렵다는 점이다. 더구나 스마트폰, 스마트워치 등을 제외한 IoT기기, 센서들은 기존보다 훨씬 가벼운 펌웨어를 통해 구동되기 때문에 윈도, 안드로이드OS에 적용되는 보안기능을 그대로 적용하기 어렵다는 한계가 발생한다.

IoT보안에서 고려해야할 요소에 대한 설명. (자료=인포섹)

IoT기기, 센서에 대해 암호화 통신을 적용하는 것도 같은 문제를 발생시킨다. 기존 암호화 통신은 PC, 스마트폰 등에서 활용돼 온 것이라 최소한의 컴퓨팅 성능을 가진 IoT기기, 센서에 적용하기에는 무리가 따른다. 일각에서는 IoT기기, 센서에 암호화 기능을 구현하는 것 자체가 불가능하다고 말하기도 한다.

이날 IoT 침해사고 동향 및 대응방향에 대해 주제발표했던 한국인터넷진흥원(KISA) 취약점점검팀 손기종 선임연구원은 "IoT기기는 OS나 CPU가 경량화된 것을 사용하기 때문에 소프트웨어적인 암호화 기술보다는 하드웨어적인 암호화 기술이 적용될 것으로 본다"며 "그러나 별도 칩을 써야하는 탓에 비용이 상승한다는 문제가 있다"고 밝혔다.

강 본부장에 따르면 현재 IoT기기, 센서에 암호화 통신을 구현하기 위해 크게 인텔, 프리스케일과 오라클 진영이 보안플랫폼을 공개한 바 있다. 인텔은 IoT기기에 최적화된 '쿼크(Quark)'라는 프로세서를 개발해 오픈SSL, 가상사설망(VPN)과 같은 암호화 통신을 지원한다는 계획이다. 프리스케일과 오라클은 ARM코어텍스-A9 기반 프리스케일 i.MX6 시리즈와 오라클 자바 SE 임베디드 등을 조합한 IoT기기 보안플랫폼을 통해 IPsec, SSL, DTLS 등 암호화 통신기능을 클라우드를 기반으로 제공한다는 로드맵을 가졌다.

관련기사

손 연구원은 IoT기기 및 센서에 대한 보안성을 보장하기 위한 방법으로 먼저 해당 기기, 센서가 외부포트에 연결되는 통로를 최소한으로 줄여 서비스를 제공해야 한다고 강조했다. 또한 기기 자체를 만드는 단계에서부터 보안취약점을 점검하는 시큐어코딩을 적용, 기기에 기본설정으로 제공되는 보안옵션을 강화할 것, IoT 관련 기능을 구현하는 SW에 대한 보안업데이트가 제공되는 환경을 마련, 침해사고에 대응해 책임을 규명하고 대책을 마련할 수 있는 보안위협측정법을 개발해야한다고 조언했다.

비영리 국제웹보안표준기구인 OWASP는 IoT 환경에서 발생할 수 있는 톱10 보안문제 중 1순위로 '안전하지 않은 웹인터페이스'를 꼽았다. 불충분한 인증, 안전하지 않은 네트워크 서비스, 전송구간 암호화 기능 부족 등이 뒤를 이었다.