2016년 10월 미국의 주요 인터넷 서비스 기업을 마비시킨 미라이 봇넷은 수십만대의 네트워크 카메라를 좀비단말로 만들어 DDoS 공격을 단행한 것으로 드러났다. 우리나라에서는 관리자 계정을 바꾸지 않은 가정용 무선 공유기가 해킹을 당해 대규모 DDoS 공격을 일으킨 사고가 발생한 바 있다. IoT 보안 취약점을 악용한 공격이 현실화되면서 IoT 보안에 빨간불이 켜졌다.
해당 사고는 공장에서 출고될 당시 기본으로 설정된 관리계정을 바꾸지 않았거나 예측하기 쉬운 문자 조합으로 계정을 운영하는 IoT 기기를 봇넷으로 만들어 공격에 이용한 경우이다. 기업에서도 와이파이 무선 공유기 계정 관리가 취약한 상황에서, 개인 디바이스까지 보안을 강제할 수는 없는 상황이라는 점에서 IoT 보안은 더욱 심각하다.
IoT 기기는 보안을 위해 사용할 수 있는 리소스가 매우 적으며, 사용자 UI를 따로 제공하지 않는 헤드리스 기기들이 많아 기기를 직접 조작하는 것이 쉽지 않다. 대부분의 경우 인터넷에 연결된 상태에서 해당 기기를 관리할 수 있는 웹사이트에 접속해 관리하게 되는데, 이 때 관리자 계정을 훔쳐 데이터를 빼가거나 기기를 원격에서 조작할 수 있는 악성코드를 몰래 심을 수 있다.
한국인터넷진흥원(KISA)이 2016년 12월 발간한 ‘2017 산업체가 주목해야 할 정보보호 10대 기술’에 IoT 기기 필수 보안요소를 내재화를 위한 ‘하드웨어 기반(TPM) IoT 단말 보안 기술’이 포함됐다.
미래부가 2016년 발표한 ‘IoT 공통보안원칙’에서도 IoT 단말 보안 기술의 필요성을 강조했다. IoT 보안을 위해서는 소프트웨어 보안 취약점 자동분석 플랫폼, 저용량·저손실 네트워크 용 하드웨어 기반 경량 보안 OS와 보안통신 기술이 필요하다고 밝혔다.
TPM(Trusted Platform Module)은 국제표준 보안전용 마이크로프로세서를 활용해 하드웨어 레벨부터 IoT 기기를 보호해 물리적 공격 뿐 아니라 소프트웨어 공격으로부터 애플리케이션의 개인정보와 무결성을 보호한다.
