[IoT 보안 인증①] “보안 없는 네트워크는 재앙”
상태바
[IoT 보안 인증①] “보안 없는 네트워크는 재앙”
  • 김선애 기자
  • 승인 2018.05.08 17:05
  • 댓글 0
이 기사를 공유합니다

IoT, 보안 기반으로 설계해야…강력하고 자동화된 인증·인가 관건

IoT는 반드시 보안이 전제돼야 하지만, 보안이 IoT 서비스를 방해해서는 안 된다. 그래서 IoT 보안 고려사항을 통합한 플랫폼이 제안되고 있으며, 여러 시범사업과 실증사업을 통해 검증된 IoT 보안 기술도 모습을 드러내고 있다. IoT 보안 기술 중 ‘인증’ 분야에 대해 살펴본다.<편집자>

“연결은 서비스다.”

김영진 드림시큐리티 미래사업실 이사는 IoT를 이렇게 정의했다.

IoT는 인터넷에 연결해 서비스를 제공하는 것이라고 요약할 수 있다는 뜻이다. 모든 사물과 생명체가 연결되고 소통하는 IoT는 필연적으로 ‘보안’에 취약하다. 쉽게 인터넷에 연결시켜 커뮤니케이션하기 위해서는 무거운 보안 장비를 여러 단계 추가할 수 없다. 공개된 표준 기술과 플랫폼을 이용해야 하고, 관리자의 개입 없이 자동으로 진행될 수 있어야 하며, 보안으로 인해 서비스에 장애를 받아서는 안 된다는 요구도 있다.

그러나 김영진 이사는 “네트워크를 고려하지 않은 보안은 의미 없지만, 보안을 고려하지 않은 네트워크는 재앙이다. IoT 환경을 구축할 때 보안은 기본으로 충족돼야 한다”고 강조했다.

“악성 봇, 전체 인터넷 통신의 30%”

IoT를 설계할 때 보안을 고려해야 한다는 사실에 그 누구도 이의를 제기하지 않는다. 보안을 고려하지 않은 IoT는 즉시 해킹을 당한다. 임퍼바 보고서에 따르면 현재 인터넷 통신 중 사람에 의한 것이 50%, 악성 봇에 의한 것이 30%를 차지하는 것으로 나타났다. 보안이 없는 통신은 해커에게 장악 당한다.

보안은 IoT의 필수조건이다. 그래서 정부는 ‘IoT 정보보호 로드맵’을 발표하고 IoT 보안 내재화를 위한 공통보안원칙과 IoT 제품·서비스 개발·설계 시 활용 가능한 공통보안 가이드를 발표했다.

KISA는 IoT 보안 시험·인증제도를 시행하고, 업계의 자율적 동참을 요구하고 있다. 이 제도는 기기 개발과 보급을 지원할 수 있는 서비스다. 개발단계에서 IoT 보안시험인증 기준을 고려하면 보다 안전한 IoT 기기를 개발할 수 있으며, 제품의 경쟁력을 높일 수 있다.

IoT 보안은 인증(Authentication), 인가(Authorization)가 관건이다. 특히 IoT 기기와 게이트웨이, 서버 간 통신 시 정상 기기가 정상 데이터로 통신하는지 인증 요청과 인가 과정이 자동으로 이뤄져야 한다. 또한 기밀성과 무결성, 부인방지 정책이 필요하며, 경량 디바이스에서도 이 요소를 만족시킬 수 있는 방법이 요구된다.

김정미 케이사인 이사는 “IoT 기기 인증/인가는 인증서 배포와 관리, 주기적인 교체와 갱신 등의 문제를 해결해야 한다. 대량의 IoT 기기에 수동으로 인증서를 주입하는 것은 현실적이지 않으며, 자동화된 프로세스로 처리해야 한다”며 “또한 펌웨어 패치와 키 교환 등도 풀기 어려운 문제”라고 말했다.

이 문제를 해결하기 위해 기기 생명주기에 맞춰 자동으로 보안을 적용하는 방법이 필수적으로 요구된다. 인증서를 주입하고, 만료된 키를 자동으로 교체하며, 소프트웨어·펌웨어 결함이나 보안 취약점을 자동으로 패치 해야 한다. 기기 사용자가 바뀌었을 때 데이터를 초기화하고 보안 설정을 다시 구성해야 하고, 사용 만료로 폐기됐을 때, 저장된 데이터를 완전 삭제하는 등의 보안 프로세스가 이뤄져야 한다.

▲IoT 장치 단계별 보안 고려사항(자료: 드림시큐리티)

IoT 보안 플랫폼 경쟁 시작

IoT 기기 보안을 위해 기기와 통신에 대한 인증과 무결성 검증, 부인방지 과정을 거쳐야 하는데, 각 단계의 요소 기술을 통합한 플랫폼이 등장해 IoT 보안의 복잡성을 해결하고 있다. IoT 보안 플랫폼은 암호 기술이 핵심을 이루며, 암호모듈검증제도(CMVP) 인증이 기술의 안정성을 판단할 수 있는 기준으로 인식되고 있다. 우리나라에서는 국정원의 암호모듈검증제도(KCMVP) 인증을 받으면 된다.

드림시큐리티는 암호 기술 분야에서 국내 최고 수준을 갖고 있다는 점을 강조하며 IoT 기기 인증 보안 플랫폼의 경쟁력을 자신한다. 드림시큐리티는 암호 분야의 경쟁력을 기반으로 다수의 IoT 보안인증 시범사업을 진행하고 있다. 자동차 스마트도어록, 행정안전부의 G-IoT, 통신사 휴대폰 기기인증, 스마트카 보안인증, 스마트그리드 등의 사업을 수행했다. 현재 AI 보안역기능 방지 기술을 개발하는 정부 사업을 진행하고 있는데, AI 기반 기기 해킹을 방지하는 방법을 연구하고 있다.

김영진 드림시큐리티 이사는 “IoT 인증은 암호 기술이 핵심이다. 정상적인 암호화 통신만을 처리해 이상행위 발생 가능성을 차단하고 서비스를 보호할 수 있다”며 “스마트시티, 스마트카, AI 기반 시스템 등 모든 IT 분야에서 암호기술 기반 인증은 필수”라고 설명했다.

드림시큐리티의 암호모듈 ‘매직 크립토’는 대칭키 기반 암복호화와 전자서명을 지원하며, IoT에 최적화된 알고리즘을 제공한다. 표준화된 암호키 관리 상호 운영성 프로토콜(KMIP) 기술이 적용된 키관리 시스템 ‘매직 KMS’와 스마트 경량 IoT 기기용 네트워크 보안 프로토콜 ‘매직 PANA/NET’을 제공해 기기 인증과 데이터 무결성·기밀성을 보장한다.

케이사인은 인가된 사용자와 기기, 애플리케이션만 접근할 수 있도록 지원하는 IoT 보안 플랫폼 ‘트러스트 씽’을 출시하고 시장 공략에 나섰다. 케이사인은 하반기 블록체인을 접목한 ‘트러스트 씽 2.0’도 출시할 계획이다.

김정미 케이사인 이사는 “전통적인 기기 제조사들은 제조단가 인하 압박을 심하게 받고 있어 보안을 고려하지 못하고 있으며, 시장 확산에 어려움을 겪고 있다. ‘트러스트 씽’은 기기의 인증/인가 과정을 자동화하며 인증서 배포·관리, 키 관리, 펌웨어·SW 패치 등을 자동화해주는 플랫폼으로 보안에 취약한 IoT 기기를 보호할 것”이라고 말했다.

한편 케이사인은 자회사인 세인트시큐리티 멀웨어 탐지 기술을 접목시켜 IoT에서의 이상행위 탐지와 위협 탐지 효과를 높일 계획이다. 세인트시큐리티 위협 인텔리전스 서비스 ‘멀웨어스닷컴’을 PC, 모바일, IoT까지 지원하도록 해 보안을 한층 강화할 계획이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.