[IoT 보안①] 초연결 사이버 공격 시대 열렸다
상태바
[IoT 보안①] 초연결 사이버 공격 시대 열렸다
  • 김선애 기자
  • 승인 2019.09.14 08:59
  • 댓글 0
이 기사를 공유합니다

5G로 광범위한 IoT 환경 조성되며 대규모 공격 가능성 높아져…IoT 보안 내재화 필수

[데이터넷] IoT는 사람들의 모든 생활에서 변화를 이끌어내고 있다. 완전 자율주행차가 상용화되면 운전석에서 숙면을 취해도 된다. 지난 3월 미국의 한 고속도로에서 운전자가 숙면에 취한 상태에서 자율주행차량이 시속 120km로 달리는 영상이 공개돼 논란이 일었는데, 완전 자율주행차가 상용화되면 이러한 상황은 일상적으로 벌어지게 될 것이다.

자율주행차는 차량에 카메라와 각종 센서를 부착해 주위 차의 간격을 조절하고 속도를 조절하며, 장애물을 자동으로 인식하고 대응할 수 있도록 한다. 차량 간, 차량과 관제센터 간 실시간으로 수많은 통신이 일어나기 때문에 더 빠르고 안전하고 지연 없는 대규모 통신환경이 필요하며, 5G를 통해 더욱 가까운 현실로 다가왔다.

5G로 가속화되는 스마트 혁신

5G는 광범위한 IoT 환경을 만드는데 가장 큰 역할을 하고 있다. 5G로 대규모의 인터넷 환경을 더 빠르게 구성할 수 있게 되면서 스마트팩토리, 스마트시티, 커넥티드카 등 스마트 혁명이 가속화되고 있다. 이와 함께 보안 대책 마련도 시급히 요구된다.

이에 정부는 5G 핵심시설과 주요정보통신기반시설을 확대 지정하고, 정보통신망법을 개정해 ICT 융합보안제도를 마련하는 등 사이버보안 예방체계를 확립할 계획이다. 더불어 산·학·연 전문가로 구성된 ‘5G보안협의회’를 출범시키고 5G 시대 예상되는 보안 위협에 대한 기술 및 제도 등에 대해 논의한다. 보안 문제를 체계적으로 점검하기 위해 정책과 기술, 표준 3개 분과로 나누고, 한국인터넷진흥원, 한국전자통신연구원, 한국정보통신기술협회가 각 분과의 대표를 맡는다.

현재 예상할 수 있는 5G 보안 문제는 기존 환경에서 발생한 보안 위협이 고대역폭·고속의 통신망을 이용해 더 대규모화되고 더 빠르고 다양하게 전개되는 것이다. 또한 5G의 기술적 규격과 특성으로 인한 새로운 위협이 등장할 수 있을 것이다.

금융보안원의 ‘5G의 금융권 영향 및 보안 고려사항’ 보고서에서는 프로토콜 개발 시 고려하지 못한 보안 취약점이 발견됐다는 사실을 지적했다. 지난해 공개된 취약점 중에서는 5G 인증과 키 합의 프로토콜의 취약점으로 인해 공격자가 기기의 위치를 확인하고 5G 네트워크 사용료를 피해자에게 전가하는 것이 있었다. 지난 2월에는 부채널 공격으로 공격자가 가짜 알림으로 도스 공격을 시도할 수 있다는 사실이 드러났다.

또한 공격자가 5G SIM 카드를 공격해 IoT 기기 사용을 불가능하게 하고, 문자 메시지 전송으로 악성코드 전파를 시도 할 수 있다는 주장도 나왔으며, 5G에 엣지 컴퓨팅 등 신기술을 결합하면서 결제 정보 엣지 서버 저장 과정에서 취약점이 발생할 수 있다는 의견도 제시됐다.

▲안전한 IoT 개발 지침(자료: CSA)

공격자에게 저비용 고수익 제공하는 IoT

5G와 함께 본격적인 초연결 사회에 접어들면서 ‘사이버 공격의 초연결(Hyper-connected)’ 사회도 동시에 열렸다. 공격자는 더 똑똑해지고 자율적으로 동작하게 된다. 공격자도 AI를 이용해 자동으로 보안을 우회하고 스마트하게 공격한다.

IoT는 보안 관리가 잘 이뤄지지 않는 취약한 기기와 네트워크까지 연결시키고 공격면을 확대시킨다. 이로 인해 공격자들은 더 적은 리소스를 들여, 더 적은 비용으로 더 큰 수익을 얻을 수 있게 된다. 많은 IoT 기기는 보안을 위해 사용할 수 있는 리소스가 없거나 매우 적으며, 관리자가 지정되어있지 않거나 IT 지식이 없는 사람이 관리하게 되는 경우가 많다. 한 번 설치하면 10년 이상 사용하고, 사람이 들어갈 수 없는 곳에 설치되기도 한다.

관리할 수 없는 기기가 인터넷에 연결되고, 그 취약점을 이용해 공격자가 침투해 들어와 중요 시스템으로 이동해올 수 있다. IoT 설계단계부터 보안을 탑재하지 않으면, IoT는 서비스 도중 보안패치를 하거나 취약점을 제거하고 관리자 권한을 강화하는 등의 보안운영을 하기 어려운 경우가 많다.

클라우드 보안 연합(CSA)의 IoT 워킹그룹은 ‘연결되는 세계를 안전하게 만들기 위한 안전한 IoT 제품 개발 13 단계’ 보고서에서 안전한 IoT 개발을 위해 다음의 13가지 지침을 지켜야 한다고 제안한다.

1. 안전한 개발 방법

2. 안전한 개발환경과 통합 환경 구현

3. 프레임워크와 플랫폼의 보안 기능 확인

4. 프라이버시 보호 설정

5. 하드웨어 기반 보안 기능의 설계

6. 데이터 보호

7. 보안 애플리케이션 과 서비스의 결합

8. 논리 인터페이스 /API 보호

9. 시큐어 업데이트 기능 제공

10. 인증 , 권한 부여 , 액세스 제어 기능의 구현

11. 안전한 키 관리 시스템 구축

12. 로그 기능 제공

13. 보안 평가 실시



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.