[IoT 보안①] IoT, 보안 내재화 설계 필수
상태바
[IoT 보안①] IoT, 보안 내재화 설계 필수
  • 김선애 기자
  • 승인 2017.02.13 10:29
  • 댓글 0
이 기사를 공유합니다

현실로 다가온 IoT 보안 위협…자동화된 보안 프로세스 작동할 수 있는 체계 마련돼야

IoT 공격이 현실로 다가왔다. 지난해 미라이봇넷을 필두로, 보안에 취약한 IoT 기기를 이용한 디도스 공격이 빈번하게 발생할 것으로 예상된다. 센서와 같이 단순한 업무를 진행하는 기기 뿐 아니라, 스마트카, 스마트팩토리 등 중요한 시설과 사용자 기기까지 위협할 수 있으며, 사회 전체의 안전을 위협할 수도 있다. IoT 시대에 반드시 필요한 보안 기술을 알아본다.<편집자>

프린터가 해킹을 당해 마음대로 출력물이 인쇄되고, CCTV가 좀비 단말이 되어 대규모 디도스 공격을 일으키고 있다. PC·노트북의 카메라가 해킹을 당해 사생활을 마음대로 찍어 인터넷에 유포하는가 하면, 인터넷에 연결된 TV까지도 공격자의 손에서 마음대로 조종된다.

사물인터넷(IoT) 확산으로 심각한 보안 사고 위협이 높아지고 있다. 사용자 데이터를 인질로 잡고 돈을 요구하는 랜섬웨어가 향후에는 스마트카, 스마트 가전 등 값비싼 사용자 기기를 인질로 잡고 돈을 요구하게 될 것으로 예상된다. 스마트팩토리 등 IoT를 적용한 중요 시설에 대한 사이버 공격이 늘어나게 될 것이라는 경고는 이미 현실로 다가왔다고 봐도 무방하다.

▲IoT 서비스 구간 별 보안 요소 기술(자료: SK인포섹)

사물 ‘위협’ 인터넷이 된 IoT

IoT는 ‘사물 위협 인터넷’이라고 불릴 정도로 안에 취약하다. 관리해야 할 기기가 너무 많고 종류도 다양해 중앙에서의 일괄관리가 불가능할 정도다. 적은 리소스로 구동되는 기기에 보안 시스템을 설치하는 것도 어려운 일이다. 그

IoT 보안은 기존 IT 보안과 다른 영역에서 접근해야 한다. 적은 리소스로 운영되는 IoT 기기를 보호하고, 기기간 통신시 탈취·위변조를 막을 수 있는 암호화 통신, 기기와 통신 인증을 위한 인증과 키관리, IoT 소프트웨어 취약점 제거 등의 기술이 요구된다. 모든 데이터와 통신을 암호화하는 종단간 암호화가 필수적으로 갖춰져야 하며, 보안 취약점이 발생했을 때 즉시 패치할 수 있는 인프라가 갖춰져야 한다. 보안패치는 위변조되지 않도록 무결성 검증을 거쳐야 한다.

이 모든 프로세스는 관리자의 개입 없이 자동으로 구현돼야 하며, 최소한의 리소스와 대역폭을 사용해야 하고, IoT 시스템 전체에 영향을 주어서는 안 된다. 이처럼 복잡한 IoT 보안 요구를 만족하기 위해서는 모든 구성요소의 설계 단계부터 보안을 내재화(Security-by-Design)하는 것이 필요하다.

디바이스는 보안칩으로 구동하고 RTOS 혹은 OS 없는 형태로 구동되면서 불법복제와 시스템 위변조 방지, 코드서명 인증 등을 구현해야 한다. 게이트웨이는 하드웨어 기반 보안 플랫폼인 TPM을 적용하며, 데이터와 통신을 암호화하고 화이트리스트 방식으로 허용되지 않은 애플리케이션의 실행은 격리한다.

서비스 단에서는 원격지에서 디바이스의 무결성을 검증할 수 있도록 전자서명 된 부트 프로세스 정보를 교환한다. 복제·위장된 단말을 검출하고 하드웨어와 소프트웨어 설정 값이 임의/불법적으로 변경된 것은 탐지해 조사하며, 서명된 안전한 패치로 보안을 유지해야 한다.

최소한의 리소스로 동작 가능한 보안 기술 필요

IoT 환경에서 가장 취약한 부분인 IoT 기기는 최소의 프로세싱 성능과 메모리로 동작하기 때문에 보안 솔루션을 설치할 수 없다. IoT 디바이스를 해킹하는 공격자들은 하드웨어의 제어권을 가져가기 때문에 IoT 디바이스를 인터넷에서 완전히 제거하지 않으면 해결하기 어렵다. 따라서 기기 운영을 위한 칩, 보드, OS, 애플리케이션까지 모든 레이어에 보안 기능을 넣어 공격자의 침투 경로를 제거하는 것이 필요하다.

IoT 기기는 CCTV, 스카트 가전, 커넥티드 카, 스마트 그리드, 제세동기 등 의료장치, 계측기, 위성통신 시스템 등 수많은 종류가 있으며, 일부 기기는 물리적으로 접근이 용이해 물리적인 탈취나 변조 위험이 있고 인증 암호키를 보호하기 어렵다. IoT 기기를 공격하는 유형도 다양하기 때문에 기존의 보안 시스템으로는 보호할 수 없다.

한국인터넷진흥원(KISA)의 ‘2017 산업체가 주목해야 할 정보보호 10대기술’에 보안 내재화를 위한 하드웨어 기반 단말보안 기술이 꼽혔다. 구체적으로 다양한 이기종 네트워크 환경에 적용 가능한 경량화 된 보안기술과 IoT 소프트웨어 보안 취약점 자동분석 플랫폼, 경량보안OS와 통신기술이 필요하다고 설명했다.

IoT 디바이스는 종류와 기능이 다르기 때문에 동일한 보안 수준을 적용하지 못한다. 기기의 능력에 따라 보안을 고려해야 하는데, 예를 들어 센서와 같이 단순히 정보 전달만 하는 기기는 데이터의 무결성을 검증하는 기능 확보하고, 스마트홈을 구성하는 가전기기와 같이 IoT 전용 프로토콜을 사용하는 기기는 통신과 저장소 암호화, 인증서 기반 상호 인증, 시큐어 업데이트, 프로세스 권한 제어, 비밀번호 관리 등이 필요하다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.