IoT, 설계 단계부터 보안 내재화 해야

홈 > 뉴스 > 뉴스 > 보안

IoT, 설계 단계부터 보안 내재화 해야

보안칩 이용해 IoT 기기 보안 보장 … 시큐어코딩·침투테스트로 서비스 보안 강화해야

관련기사

블록체인 오해와 이해 … 블록체인은 비트코인이 아니다

WAN 혁신 기술로 ‘SD-WAN’ 급부상

더 빠른 스토리지 성능 제공 ‘NVMe’에 시선집중

2018년 01월 11일 09:35:25

김선애 기자

iyamm@datanet.co.kr

2018년 이후 가장 수요가 높을 것으로 예측되는 기술로는 인공지능(AI), 디지털 보안, 사물인터넷(IoT) 등이 꼽힌다. 특히 인공지능은 디지털 보안과 사물인터넷과 관련한 문제 해결에 핵심적인 역할을 수행할 전망으로 다양한 분야에 접목되면서 인공지능에 대한 투자가 빠르게 늘고 있다. 뿐만 아니라 소프트웨어 정의, 클라우드, 5G 등 IT 인프라의 정의를 새롭게 써내려가고 있는 상황으로 2018년은 4차 산업혁명을 위한 기반 인프라가 본격적으로 조성되는 한해가 될 전망이다. 특히 가트너는 기업의 80%가 2021년까지 혁신을 위한 경쟁에서 도태되거나 자체적 혁신에 실패함으로써 시장 점유율의 약 10%를 잃을 것으로 예상하는 등 기업의 디지털 트렌스포이션은 선택이 아닌 필수가 됐다. 기업의 디지털 경제 시대 생존법이자 성장동력으로 주목받는 새로운 기술과 트렌드를 짚어본다. <편집자>

IoT가 확산될수록 보안위협은 커진다. 현재 대부분의 IoT는 보안을 고려하지 않고 개발된 것이다. IoT 보안 위협이 심각하다는 사실은 모든 사람들이 알고 있지만, 개선하기에는 너무 많은 비용이 투입되고, 제품·서비스 출시 시기를 맞출 수 없기 때문에 외면해 왔다.

트렌드마이크로의 ‘2018 보안 예측보고서’에서는 관리되지 않은 IoT 기기를 이용한 대규모 봇넷 위험성을 경고했다. 또한 공격자가 드론의 관리자 권한을 탈취해 사람을 공격하거나 드론으로 배달되는 물품을 훔치고 있으며, 웨어러블 기기와 의료기기를 통한 바이오 해킹 사고도 발생할 것이라고 예측했다.

정보보호·사생활 보호 고려한 IoT 필요
IoT를 안전하게 운영하기 위해서는 보안 문제가 반드시 해결돼야 한다. IoT 보안은 방대한 범위에서 접근하기 때문에 단순하게 말할 수 없지만, KISA가 2015년 발표한 ‘IoT 공통 보안 7대 원칙’에서는 정보보호와 프라이버시 강화를 고려해 제품과 서비스를 설계해야 하며, 안전한 소프트웨어와 하드웨어 개발 기술을 적용하고 검증해야 한다고 설명하고 있다.

이를 위해 필요한 기술 중 하나인 시큐어부팅은 기기 부팅 시 OS나 애플리케이션이 위변조되거나 침해되지 않은 안전한 상태인지 확인하는 과정을 거치며, 시큐어 스토리지는 기기·사용자의 인증 키 값을 안전하게 저장할 수 있는 저장소를 말한다.

시큐어코딩은 소프트웨어 개발 단계부터 보안을 적용하는 것이며, 펌웨어와 애플리케이션 업데이트 시 변조된 코드가 배포되지 않도록 하는 시큐어 소프트웨어 업데이트도 필수적이다. 더불어 고유의 디바이스 키 관리, 표준 암호화 알고리즘, 전송 트래픽 암호화 등의 기술이 필요하다.

간편하게 도입 가능한 보안칩 ‘주목’
보안이 내재화된 IoT 환경을 구성하기 위해 가장 먼저 선결돼야 할 것이 IoT 기기 보안이다. 일반 프로세스와 보안칩을 하나의 칩에 통합시킨 SoC(System on Chip) 형태의 보안칩이 등장하고 있는데, 국내 IoT 보안 기업 eWBM이 ‘MS500’를 개발하면서 보다 적용이 간편하고 비용 효율적인 IoT 보안을 제공한다.

eWBM은 시큐리티플랫폼과 함께 IoT 보안 플랫폼을 개발해 출시하고 있으며 시큐리티플랫폼은 시큐어부팅, 시큐어 스토리지 등 IoT 기기 보안에 필요한 소프트웨어를 SDK로 제공해 보안칩 벤더가 더 쉽게 보안을 적용할 수 있도록 한다.

보안칩의 암호화 키는 난수를 통해 매번 새롭게 생성되는데, 난수생성 알고리즘에 따라 암호화 키가 뚫리는 경우도 있다. 예측 불가능한 난수 발생을 위한 기술이 다양하게 제안되고 있으며, ICTK는 개별 반도체 칩이 갖고 있는 ‘지문’을 난수로 활용하는 PUF 기술을 이용한 보안칩을 제안하고 있다.

PKI 기업, IoT 인증 시장 잇달아 진출
PKI 기술을 가진 기업들은 IoT 보안인증에 이 기술을 사용할 수 있다고 강조하면서 시장 리더십을 확보하기 위해 분주하게 움직이고 있다. 드림시큐리티는 PKI 기반 인증서 키관리 시스템을 응용한 ‘IoT 용 매직 KMS’를 출시하고 시장 리더십 확보에 나섰다. 이 제품은 IoT환경에 적합하도록 단일화되고 표준화된 키관리 시스템을 제공하고 있다.

드림시큐리티는 전자정부 IoT 인증체계 구축 등 다양한 IoT 보안 사업을 진행해왔으며, 하드웨어 기반 암호칩, 소프트웨어 방식 임베디드 암호 기술 등 다양한 IoT환경을 고려한 보안기술 확보를 위해 암호기술연구센터를 개소했다.