디지털 트랜스포메이션은 기업 성장을 위해 가장 중요한 혁신 경영 방법으로 꼽힌다. 그 방법으로 클라우드, 사물인터넷(IoT), 인공지능(AI), 빅데이터 등이 제안되며, IT 경계를 허물고, 모든 곳에서, 어떠한 시스템이든 접근해 데이터를 이용하고, 수집하고, 분석해, 더 높은 부가가치를 가진 서비스를 만들게 한다. 그러나 디지털 트랜스포메이션이 진행될수록 보안위협은 더 높아진다. 물리적인 방어선이 사라지면서 공격이 모든 곳에 존재하는 상황이 된다. 디지털 트랜스포메이션을 성공시키기 위한 보안 고려사항을 ▲클라우드 ▲IoT ▲APT·랜섬웨어 ▲데이터 보안 ▲보안 관제와 보안 서비스 등으로 나눠 연재한다. <편집자>
사생활 침해 위협 높은 IoT
IoT는 보안에 취약하다. IoT 기기는 보안 기술이 사용할 수 있는 리소스가 적어 보안 솔루션을 탑재하는 것이 어려우며, 보안 인식이 없는 사람들도 일상적으로 사용해 쉽게 공격자의 손에 넘어갈 수 있다. 공격자는 대규모 IoT 기기를 마음대로 조종할 수 있는 봇넷을 만들기도 하고, IoT 기기에서 생성·전송되는 개인정보를 탈취하기도 한다.
가장 우려하는 것은 사생활 침해이다. IP카메라 1400여대에 무단으로 접속해 사생활을 음란사이트 등에 올린 일당이 경찰에 검거됐는데, 이들은 가정과 의류매장의 탈의실 등의 IP카메라를 이용했다. 이들이 이용한 IP카메라는 대부분 비밀번호조차 설정돼 있지 않았으며, 소프트웨어 버전 업그레이드도 하지 않아 쉽게 접속할 수 있었다고 알려진다.
이처럼 사람들은 IoT 기기가 위험하다는 사실을 막연하게 알고 있지만, 보안을 위해 반드시 지켜야 하는 수칙을 거의 지키지 않는다.
보안 내재화로 IoT 기기·서비스 보호
이 문제를 해결하기 위해 IoT 기기의 보안 내재화가 필요하다. IoT 기기와 서비스를 개발하는 단계부터 보안을 고려해야 한다는 것으로, 보안칩을 이용해 관리자 권한이 탈취되지 않도록 하며, 보안 플랫폼을 이용해 OS와 애플리케이션의 위변조를 막고 공격자가 기기를 장악하지 못하도록 하는 것이 필요하다.
IoT 보안인증은 보안이 내재화된 기기를 설계하고, 중요 데이터 암호화와 암호화 통신으로 통신 중 데이터를 탈취하지 못하도록 하는 등의 내용이 담긴다. 기기와 관리자를 식별하고 인증하며, 외부 인터페이스 차단, 물리적 보안 등을 통해 공격 가능성을 차단한다.
정부는 IoT 보안을 끌어올리기 위해 기기 제조사들의 보안 내재화 의지를 높일 수 있도록 각종 지원정책과 규제를 만들고 있다. 2016년 9월 KISA와 산·학·연 전문가가 협의체를 구성해 ‘ICT 융합제품 및 서비스의 보안 내재화를 위한 IoT 공통 보안 가이드’를 발표했으며, 그 일환으로 2017년 7월 홈·가전 IoT 보안 가이드를 발표했다.
또한 KISA와 IoT 제조사, 보안 전문가들과 자율기준으로 ‘IoT 보안시험’을 마련하고 시험을 실시했으며, 7월 KISA, 다원디엔에스, 이노피아, SK텔레콤 등이 인증서를 받았다.
보안칩·보안칩으로 IoT 기기 원천 보호
가용 리소스가 적은 IoT 기기를 보호하기 위해서는 소프트웨어 보안 기술보다 하드웨어 보안 기술이 더 유리하다. 보안칩을 이용해 정상 사용자와 정상 단말, 정상 애플리케이션만 접근하도록 하며, 칩 내에 해킹당하지 않는 암호화 공간에 인증서를 두고 관리한다. 보안 OS를 이용해 위조된 서명이나 탈취된 관리자 권한으로 접근하는 불법 사용자를 막는 것도 필요하다.
시큐리티플랫폼은 하드웨어 레벨 IoT 보안 플랫폼을 SKT, 삼성전자 등과 공동개발했으며, 글로벌 칩 벤더인 ST마이크로와 파트너십을 맺고 IoT 보안칩 개발에 협력하며, 인피니언의 보안 반도체와의 통합솔루션 개발에도 참여한다.
시큐리티플랫폼은 LoRa 모듈이나 칩에 내장된 VPN 클라이언트 그리고 디바이스 펌웨어 용 보안 마이크로SD 카드 등에 SDK를 제공하는 형태로 영업을 진행하고 있으며, 앞으로는 제조사들과 협력해 모든 제품에 보안을 내재화할 계획이다.
하드웨어 칩에 보안 기능을 추가해 단말과 사용자 인증을 수행하는 보안칩은 IoT 뿐 아니라 핀테크에서도 사용될 것으로 기대됐다. 모바일 기기가 금융서비스에 이용되면서 안전한 인증과 금융거래를 위한 인증 서비스가 필요했다. 트러스트존과 같은 하드웨어 보안 영역에 인증서를 보관하고, PIN 번호, 지문인식 등으로 인증을 수행하는 방법이 다양한 서비스에서 사용되고 있다.
보안칩은 칩 설계 기술과 강력한 암호화 기술이 뒷받침돼야 해 진입장벽이 높다. 국내에서는 네오와인이 자체 설계한 암호화 알고리즘을 기반으로 정품인증을 위한 보안칩 등으로 공급하고 있으며, EWBM은 국내외 다양한 기업들과 협력해 생체인증, 스마트그리드, PC보안, 핀테크 등에서 활용하고 있다.
칩 제조 중 나타나는 특별한 패턴을 난수값으로 활용하는 PUF 기술을 개발한 ICTK, 방사성동위원소를 사용한 암호화 난수 생성기 기술을 활용하는 EYL도 세계적으로 좋은 평가를 받고 있다.
