IoT는 반드시 보안이 전제돼야 하지만, 보안이 IoT 서비스를 방해해서는 안 된다. 그래서 IoT 보안 고려사항을 통합한 플랫폼이 제안되고 있으며, 여러 시범사업과 실증사업을 통해 검증된 IoT 보안 기술도 모습을 드러내고 있다. IoT 보안 기술 중 ‘인증’ 분야에 대해 살펴본다.<편집자>
보안칩, IoT 기기 보안에 필수
IoT 기기 보안을 위해 보안칩이 가장 널리 사용된다. 하드웨어 칩에 인증서와 키를 저장해 해킹당하지 않도록 보호하는 보안칩은 국내 기업이 글로벌 수준의 기술력을 인정받으면서 해외 진출에 박차를 가하고 있다. 최근에는 시큐어부팅, 보안키 저장, 제조 보호, 하드웨어 리소스 격리, 런타임 변조 방지 등이 포함된 RoT(Root of Trust)로 시스템 무결성을 보장하고 있다. IoT 기기에 적용되면 제조 단계에서 허용된 프로세스 외에는 작동하지 않도록 하고, 정상 업데이트 패치만은 허용하도록 설계할 수 있다.
국내 보안칩 전문기업으로는 네오와인, EWBM 등이 있으며, IoT 기기 인증을 위한 전용 보안칩을 생산하고 있다. ICTK는 세계 최초로 PUF 기술을 상용화해 주목을 받았다. PUF는 반도체 칩 생산 과정에서 개별 칩에 남아있는 고유의 패턴을 키로 사용하는 기술이다. 양자펄스생성기 경량 암호화 칩 생산에 성공한 EYL은 여러 글로벌 대회에서 수상하면서 인지도를 높여가고 있다.
IoT 보안 플랫폼 개발사인 시큐리티플랫폼은 경량의 임베디드 소프트웨어 보안 시스템온칩(SoC) 기술을 인정받아 소프트뱅크로부터 30억원의 투자를 받았으며, 소프트뱅크가 인수한 ARM의 ‘IoT 보안 환경 구축 프로젝트’에 참여하게 됐다. 국내외 여러 보안칩벤더와 협력해 IoT 보안 내재화를 실현하고 있다.
황수익 대표는 “시큐리티플랫폼은 턴키 방식 IoT 보안 플랫폼으로 기기 제조사와 엔지니어들이 보안에 대해 알지 못한다 해도 하드웨어 수준에서 보안을 보장할 수 있도록 지원한다”며 “ST마이크로 등 주요 반도체 제조사와 함께 보안을 강화한 MCU를 공급해 CPU·보안칩으로 나누지 않고 단일 칩만으로, 커스터마이징 없어 범용적으로 보안을 만족하는 IoT 기기를 제조할 수 있도록 지원한다. 이 개념의 기기들은 연말부터 사용 가능하게 될 것”이라고 설명했다.
실리콘 단계부터 보안 보장
IoT 기기 보안은 더 가볍고 단순하게 작동하는 것을 추구한다. 보안칩은 CPU와 별도로 탑재돼 보안인증 업무만을 수행하기 때문에 기기 제조사는 보안칩 추가로 인한 보드 및 펌웨어 변경이나 제조단가 인상을 우려하게 된다.
인텔은 프로세서에서 보안인증은 물론, 해킹방어 기능까지 담당하는 ‘위협 탐지 기술(TDT)’을 공개하고 IoT 보안을 강화한다. TDT는 실리콘 수준의 텔레메트리(원격 측정)와 기능을 활용, 진화하는 사이버 위협과 익스플로잇에 맞서 위협 탐지를 개선하도록 지원한다. 또한 어드밴스드 플랫폼 텔레매트리(APT) 기능을 추가해 머신러닝 알고리즘을 통해 진화한 위협을 탐지하고 오탐을 개선한다. 이 기술은 인텔 코어, 제온, 아톰 프로세서에 적용되며, 안전한 부팅, 데이터·키·디지털 자산 등을 보호하고, 가속화된 암호화, 실행중인 애플리케이션을 보호하는 실행 영역을 제공한다.
마이크로소프트가 MCU 기반 IoT 보안 플랫폼 ‘애저 스피어(Azure Sphere)’를 출시, IoT 보안 시장 출사표를 던졌다. 애저 스피어는 장난감에서부터 가전기기에 이르기까지 손톱크기의 마이크로 컨트롤러(MCU)가 탑재된 커넥티드 디바이스간의 높은 보안을 제공한다.
IoT 보안 시장 경쟁 시작
IoT 보안시장 경쟁은 이미 시작됐으며, 인증보안은 시장 개화를 알리는 방아쇠의 역할을 하고 있다. IoT 인증 보안 시장에 이미 많은 경쟁사들이 뛰어들고 있으며, 더 가볍고 빠르고 경제적이며 손쉬운 방법으로 보안을 내재화하는 기술을 선보이고 있다.
그러나 국내 IoT 제조사들은 아직도 보안에 머뭇거리고 있다. KISA의 IoT보안인증제도에도 반기를 들고 있으며, 보안을 고려한 설계가 필요하다는 요구에 눈과 귀를 막고 있다. 국내 제조사들의 이러한 입장을 이해하지 못하는 것은 아니다. 보안인증을 받기 위해서는 제품 자체를 다시 설계해야 한다. 칩부터 보드, 소프트웨어 까지 보안을 고려해 설계하고 제작해야 하기 때문에 준비에 상당한 시간이 걸린다.
그러나 국내 기업이 보안에 주저하는 사이에 중국, 대만의 저가 기기들이 보안기능까지 탑재하면서 국내 시장을 잠식하고 있다는 사실에 눈을 감아서는 안된다. 있다. 이 기기들은 보안 기능을 제공하면서도 저렴하게 공급돼 짧은 시일에 시장 장악력을 높이고 있다.
해외에서 반 조립된 상태로 들여와 국내에서 조립하는 방식을 사용하는 제조사들은 이 제품이 어떻게 설계됐는지 알지 못하기 때문에 더 어려움을 겪는다. 이 경우 납품되는 제품은 일체형으로 생산되기 때문에 완제품 조립하는 기업들은 모듈이 어떤 기술을 갖고 있는지 알 수 없으며, 당연히 취약점이 존재하는지도 모른다.
자사에서 조립한 제품이 IoT 봇넷에 감염돼 대규모 해킹에 사용되고, 이로 인해 대량의 리콜 사태가 발생한다면, 이는 온전히 완제품을 출시한 제조사의 책임이다. 제조사는 해당 봇넷이 이용한 취약점이 자사 제품을 구성하는 어느 모듈에 존재하는 것인지 알지 못하고 피해를 입을 수 밖에 없다.
김영진 드림시큐리티 이사는 “기술의 안전성을 확보하는 방법 중 하나는 업계 표준을 지켰는지, 필요한 보안인증을 획득했는지 확인하는 것이다. KCMVP 인증을 받은 기술로 제품을 만들었다면 국정원이 인정하는 수준의 암호화 모듈의 완성도를 가졌다는 뜻”이라며 “제조사들은 제조단가 상승의 우려가 있다 해도 IoT 보안 내재화된 제품을 개발하는 것이 장기적으로 경쟁력을 가질 수 있는 길이라는 사실을 알아야 한다”고 말했다.
