IoT 확산으로 보안위협도 크게 증가하고 있다. 가트너는 2020년 IoT 관련 공격이 전체 기업 공격의 20%에 이를 것으로 예측했다. 사이버시큐리티 벤처스는 2021년 전 세계 사이버 범죄 피해액을 6조달러로 전망했다. 실제로 한국인터넷진흥원에 접수된 취약점 신고 건수가 2016년 급격하게 늘어났는데, 2015년 130건에서 2016년 362건으로 3배 가까이 증가했다.
IoT 위협의 심각성을 극명하게 보여준 것이 중국 스파이칩 의혹이다. 관련 기업들이 일제히 해당 사실을 부인했으나, 만일 IoT 기기에 이러한 스파이칩이 심어진채로 제조된다면 기밀정보는 의미없게 될 것이다. IP카메라, AI 스피커, 스마트TV 등 가정용 스마트 기기에 스파이칩이 숨어있다면 사생활이 모두 다 공격자에게 노출될 수 있다. 스마트팩토리, 스마트시티, 주요기반시설 제어시스템 등에 스파이칩이 설치됐다면 국가 안보와 국민들의 생활 전반이 위협을 당할 수 있는 일이다.
IoT 필수요소 ‘보안칩’
스파이칩과 같이 하드웨어 단에서부터 일어나는 위협을 차단하기 위해서는 보안칩이 필수적으로 요구된다. 특히 OS가 없는 IoT 기기는 보안 소프트웨어를 설치할 수 없기 때문에 하드웨어 단에서 보호할 수 있는 보안칩이 필수다.
보안칩은 하드웨어 암호화 엔진과 시큐어 키관리, 시큐어부팅, 시큐어 스토리지, 펌웨어 및 기기 무결성 확인 등의 기능을 수행하며, CPU 부하를 낮추고 기기 성능을 높일 수 있다. 최근에는 MCU에 보안 기능을 더한 보안 MCU로 통합돼 제공돼 하드웨어 설계를 단순화하고 기기 생산 단가를 낮출 수 있도록 지원하고 있으며, 보안 MCU의 모든 기능을 하나의 칩으로 통합해 제작하는 시스템 온 칩(SoC)으로 제공되기도 한다.
보안칩은 이미 많은 기기에서 사용되고 있다. 공장 자동화 시스템, 신용카드 결제 단말, ATM 등 특수목적 장비에도 적용된다. 특히 최근 인터넷 통신이 HTTPS를 사용하면서 IoT 기기에서도 암호화 통신을 요구하고 있어 이를 처리할 수 있는 전용 칩에 대한 관심도 높아지고 있다.
국내 보안칩 전문기업은 네오와인, eWBM, 키페어 등 다수가 있으며, 키페어는 KCMVP 인증을 받고 공공시장 공략에 나서고 있다.
IoT 보안인증으로 보안 내재화 유도
보안칩은 IoT를 안전하게 이용하기 위한 필수 장치지만, 기기 제조사와 서비스 공급자들은 보안칩을 선택하려고 하지 않는다. 제조단가가 높아진다는 문제도 있지만, 그보다 더 중요한 것은 보안칩을 추가하려면 제품 아키텍처를 다시 설계해야 한다. 라이프사이클이 짧은 IoT 기기를 설계부터 제작, 인증 등의 과정을 거친 후 출시하려면 타임투마켓을 맞출 수 없다. 시큐리티플랫폼은 보안 전문성이 없는 기기 제조사들이 쉽게 보안을 내재화할 수 있는 턴키 솔루션을 제공한다. 시큐리티플랫폼은 보안 전문기업, 칩 제조사들과 함께 IoT 보안 내재화를 도와주는 기술과 솔루션을 제공하고 있다.
한편 정부는 IoT 제조사와 서비스 기업들이 보안에 더 투자할 수 있도록 IoT 보안인증제를 시행하고 있다. 이 제도는 의무는 아니지만, 인증을 획득한 제품에 인증마크를 부여해 제품 홍보·마케팅에 사용할 수 있도록 했다. KS 마크와 같이 IoT 보안인증을 획득한 제품은 기본적인 보안 요건을 갖추고 있다는 사실을 인정해 소비자들이 현명하게 선택할 수 있도록 유도한다.
이상행위 차단으로 안전한 IoT 운영
하드웨어 기반 보안 기술은 하드웨어 단의 보안 문제를 해결해 주지만, 그렇다 해서 소프트웨어 기반 보안 기술이 필요 없다는 것은 결코 아니다. 보안 솔루션을 구동할 수 있는 리소스가 충분하다면 소프트웨어 보안 기술도 함께 운영하는 것이 좋다.
최근 엔드포인트 보안 솔루션은 경량 에이전트를 이용해 엔드포인트에서 이벤트만을 수집하고 이상행위 분석과 차단은 클라우드에서 한다. 시만텍의 IoT용 경량 엔드포인트 에이전트 ‘크리티컬 시스템 프로텍션(CSP)’는 IoT 디바이스 성능을 저해하지 않으며, 시그니처 없이 위협을 차단하는 초경량 보안 클라이언트다.
이 제품은 OS 및 익스플로잇 차단 기술과 연계해 애플리케이션 화이트리스트 정책을 적용하며, 운영기술(OT), ICS/SCADA, ATM·POS 등을 보호한다. 클라우드 연결 없이도 지속적인 보안을 적용할 수 있어 폐쇄망 시스템에서도 운영할 수 있다.
또한 시만텍은 커넥티드카 보안 솔루션으로 ‘어노멀리 디텍션 포 오토모티브(ADA)’도 공급한다. ADA는 머신러닝 기술을 이용해 차량의 비정상 행위를 탐지하고 자동차 해킹을 방지한다. 차량에 영향을 주지 않고 CAN BUS로 모니터링해 차량 정상 상태를 학습하며 공격 가능성을 암시하는 이상행동을 구분한다. ADA는 대부분의 자동차 모델에 적용할 수 있며, 감지된 심각도와 공격과 단순 오작동을 모두 알려 탑승자의 안전과 보안을 강화한다.
