사물인터넷(IoT) 기기 활용이 증가함에 따라 관련 위협에 대응할 수 있는 보안 조치가 필요하다는 주장이 나왔다.
IoT 기기, 서비스의 특성을 고려한 보안 조치와 통신 환경 전반을 아우르는 암호화 환경 구축이 이뤄져야 한다는 진단이다.
김영진 드림시큐리티 이사는 24일 서울 양재 엘타워에서 열린 자사 세미나에서 건설·물류산업 IoT 환경을 위한 보안기술 적용 및 개발 전략'을 소개하면서 이같이 말했다.
디지털 비즈니스 혁신이 가속화되는 가운데 뉴로모픽 하드웨어, 양자 컴퓨팅, 블록체인과 함께 IoT가 플랫폼 구축을 촉진하는 주요 기술이 될 것이라는 전망이 제기된다. 시장조사업체 매키나리서치는 오는 2022년 경에는 300억개 이상의 커넥티드 기기가 사용될 것으로 전망한 바 있다.
김영진 이사는 IoT 기기 사용이 활성화될 전망이지만, 효율적인 보안 관리책이 부재, 각종 보안 사고에 따른 대규모 피해가 발생할 것으로 예상했다.
IoT 기기별 접근 제어나 공격 방어, 운영 자원 관리 등의 측면에서 각종 위협이 잠재해 있다는 것이다.
구체적으로 기기 단에서는 운영체제(OS) 위·변조를 통해 기기 오작동을 유도하거나 악성코드를 심어 해킹 공격에 이용할 가능성이 존재한다.
애플리케이션 단에서는 악성코드를 통해 데이터를 탈취하거나 모바일 앱 위·변조로 오작동을 유도할 수 있다는 분석이다.
통신 구간 상에서는 네트워크 도·감청 및 잘못된 데이터 전송 가능성, 서버 구간에서는 API 취약점을 통한 권한 획득 등의 보안 우려가 발생할 수 있다.
김 이사는 "IoT 기기가 한 번 제조, 배포되면 회수, 관리가 용이하지 않기 때문에 전문가들은 제조나 조립 단계에서 강화된 보안 조치를 취해야 한다는 가이드라인을 내놓는 상황"이라고 설명했다.
IoT 운용 환경에 적합한 보안을 위해 고려할 요소로는 ▲제품·서비스 설계 ▲안전한 소프트웨어·하드웨어 개발 기술 적용과 검증 ▲안전한 초기 보안 설정 ▲보안 프로토콜 준수 및 안전한 파라미터 설정 ▲지속적인 취약점 보안 패치·업데이트 ▲정보보호·프라이버시 관리 체계 ▲침해 사고 대응 체계와 책임추적성 확보 방안 등을 꼽았다.
김 이사는 "제품 설계를 예로 들면, 맨홀이나 땅 속 관로 내 센서를 부착하는 경우 기기에 전력을 공급할 방법이 없어 몇 년간의 사용 기한을 고려해 배터리를 탑재한다"며 "여기에 보안 기술을 적용한다면, 이를 위한 전력 소비가 증가하게 되는데 그럼 사용 기한에 영향을 미치게 된다는 점을 고려해 보안 기술을 고민해야 한다"고 말했다.
기술적으로는 IoT 환경에 적합한 암호 키 관리의 필요성을 강조했다. 기기를 설계, 개발하고 난 뒤 이를 배포 및 설치하고, 사용 기간 동안 관리하다 폐기에 이르기까지 전 과정에서 편리하고 안전한 키 배포·주입 기술이 개발돼야 한다는 것이다.
이런 관점 하에서 IoT 보안 기술 도입 전략을 소개했다.
먼저 암호모듈의 확보다. 암호모듈 구현을 소프트웨어 또는 하드웨어로, 또는 둘다 사용하는 방식으로 나뉠 수 있다. 소프트웨어의 경우 상대적으로 취약점에 노출되기 쉽지만, 개발 비용을 제외하면 대량 보급 시에도 비용 부담이 없다는 장점이 있다.
관련기사
- 블랙베리 "사람 목숨 달린 산업IoT시스템, 진짜 보안 갖춰야"2019.05.24
- 우리는 지금 왜 '초시대'를 말하는가2019.05.24
- KT, 5G 시대 'IoT 보안성' 검증 강화2019.05.24
- 스타벅스는 MS 블록체인·AI 기술 어떻게 쓸까2019.05.24
국가보안기술연구소 암호모듈인증평가(KCMVP)를 완료한 제품을 활용하는 것도 제안했다. 자사 암호 모듈 제품인 '매직크립토'가 대표적이다. 윈도, 리눅스, 임베디드 리눅스, 커널 환경의 리눅스, 유닉스, 맥, 안드로이드와 iOS, 자바 등 다양한 운영환경을 지원한다.
아울러 키 관리 시스템과 서비스 제공자와 이용자까지의 전 과정을 아우르는 통합 플랫폼 구축을 통해 전 과정에서의 보안 관리가 이뤄져야 한다고 강조했다.