[2020 ICT 분야별 전망] IoT 보안
상태바
[2020 ICT 분야별 전망] IoT 보안
  • 김선애 기자
  • 승인 2020.01.07 09:05
  • 댓글 0
이 기사를 공유합니다

스마트시티·스마트팩토리·자율주행자동차 위협하는 IoT 공격
공격자도 5G 이용해 광범위한 분야에서 침해 시도
보안 내재화 IoT 필수…기기·서비스 전체 보호해야

[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>

5G 상용화로 IoT가 한층 더 일상생활에 파고들었다. 4G보다 20배 빠르고 레이턴시는 120배 적은 5G는 일반 사용자 통신 환경에만 적용되는 것이 아니라 스마트시티, 스마트팩토리, 스마트팜, 스마트 주택단지, 스마트톨링 등에서도 사용된다. 더 넓은 대역폭을 이용해 더 안전하게 통신을 지원할 수 있다. 드론을 활용한 다양한 서비스와 지능형 영상보안 서비스, 지능형 교통 시스템, 커넥티드 카, 혁신적인 핀테크 서비스와 공유 서비스가 가능해진다.

생활이 편리하게 진화하는 만큼 사이버 위협도 높아진다. 체크포인트는 5G 등장으로 IoT 디바이스 사용이 가속화되고, 대규모 멀티 벡터 5G 공격이 발생할 것으로 예상했다. IoT의 연결성이 높아질수록 공격면도 증가한다. 공격자가 취약한 네트워크와 기기, 사용자를 찾는 것은 식은죽 먹기다.

2017년 발생한 미라이 봇넷 공격은 보안에 취약한 CCTV와 라우터 1만3000여대를 이용한 것이다. 이 기기들이 DNS 서비스 기업을 공격해 미국의 주요 정부기관과 인터넷 서비스 사업자를 마비시켰다.

일상화된 IoT 공격

한국인터넷진흥원(KISA)의 ‘2020년도 7대 사이버 공격 전망’에서는 미국과 일본의 대학에서 암호화한 레이저를 이용해 아마존 알렉사, 애플 시리, 구글 어시스턴트 등 AI 스피커를 해킹하는데 성공했다는 사실을 언급하면서 일상에서 많이 사용되는 IoT 결합 서비스를 대상으로 한 사이버 위협에 대해 경고했다.

IoT 침해 사고는 오래전부터 끝없이 발견되어왔다. 카스퍼스키랩이 스마트카의 유무선 장치를 대상으로 보안 테스트 한 결과, 스마트폰 앱으로 차량의 주행 데이터에 쉽게 접근할 수 있다는 사실이 밝혀졌다.

국내에서 선풍적인 인기를 끌고 있는 공유 자전거의 보안 취약점 문제도 제기된 바 있다. 김광조 KAIST 교수 연구팀은 공유 자전거와 앱 사이의 정보가 암호화되지 않은 평문 형태로 전송돼 비밀번호와 같은 민감한 정보가 탈취될 수 있다는 사실을 밝혀냈다.

스마트 헬스케어 기기를 이용해 사람들의 건강·생명을 위협할 수 있다는 경고도 끊임없이 나오고 있으며, IoT 활용 금융 서비스를 악용한 금전 피해도 발생할 수 있다. 금융보안원은 가정용 IoT 기기들이 데이터를 암호화하지 않고 전송하기 때문에 가정에서 업무를 하거나 금융거래를 할 때 암호화되지 않은 중요정보·금융정보가 무작위로 탈취될 수 있으며, 위조된 QR코드로 결제정보를 가로챌 수 있다는 점을 지적했다.

2019년 미국의 보안팀이 IoT 음성인식 오류를 통한 피싱 공격을 테스트 한 결과가 주목을 받은 바 있다. 사투리나 특정한 억양으로 인해 AI 스피커가 잘못 이해하는 점을 악용한 피싱 공격이었다. “Alexa, ask Amex to make a bank transfer of 30 dollars.”라는 음성 명령 중 ‘Amex’를 ‘Am X’로 인식하게 해 Am X라는 해커 사이트로 접속해 사용자 계정 정보를 탈취할 수 있다는 테스트였다.

스마트TV 역시 이 같은 공격에 취약하다. 최근 스마트TV는 인터넷 쇼핑몰과 연결되어 TV를 보는 도중 등장인물이 입은 옷, 소지한 소품, 가전용품 등을 TV에서 직접 주문할 수 있다. 이 정보를 가로채 해커가 신용카드 정보 등을 훔쳐 금융사기에 이용할 수 있다.

IoT 보안 취약점 제거해 공격 가능성 줄여야

IoT 보안 사고를 막기 위해 가장 먼저 해야 할 일은 현재 제공되는 IoT 서비스와 기기에서 보안 취약점을 찾아 제거하는 것이다. KISA에 신고된 IoT 보안 취약점은 2019년 기준 지난 3년간 7배 늘었으며, 2020년에는 6억건에 달할 것으로 보인다. 2018년 발견된 취약점은 3억5000만건이다. 신고되지 않은 보안 취약점은 얼마나 많을지 가늠하기 힘든 상황이다.

일본에서는 국립 연구개발 법인 정보통신 연구기구(NICT) 법을 시행해 5년간 인터넷에 연결된 모든 IoT 기기를 자동으로 조사하고 대책을 적용할 수 있도록 했다.

우리나라에서도 이 서비스를 무료로 제공하고 있다. 한국인터넷진흥원은 서비스 사용에 동의하는 개인과 기업을 대상으로 인터넷 연결 기기와 서비스의 취약점을 점검한다. ▲UPNP 서비스 점검: 외부망(인터넷)의 원활한 연결을 지원하는 서비스 사용 유무 ▲취약한 인증 정보 점검: TELNET, SSH, FTP 등 취약한 인증 정보 사용 유무 ▲중요정보・관리페이지 노출점검: 인세캠(Insecam) 등 영상 노출 페이지 접근 가능 유무 ▲소프트웨어 취약점 점검: 사용 중인 서비스의 OS, 소프트웨어(미들웨어) 알려진 취약점 존재 유무 등이 서비스의 중요 내용이다.

IoT 취약점 점검 만으로도 IoT 보안위협이 상당히 줄어들 것으로 보이지만, 이 서비스는 반드시 사용자의 동의를 받아야 하기 때문에 확산이 어렵다. 악성 봇넷은 네트워크와 기기에서 취약점을 자동으로 탐색해 감염시킨다. 취약점 점검에 동의하지 않은 기기를 통해 확산되는 보안 문제를 해결하기 어렵다. 그래서 KISA는 일본처럼 한시적으로 동의 받지 않은 모든 기기와 서비스, 네트워크에 대한 취약점 점검이 필요하다고 주장한다.

▲KISA IoT 보안 취약점 점검 서비스
▲KISA IoT 보안 취약점 점검 서비스

보안 내재화, IoT 보안 첫 걸음

IoT 보안을 원천적으로 해결할 수 있는 이상적인 방법은 ‘보안 내재화(Security by Design)’다. IoT 기획 단계부터 보안을 고려해 기기, 네트워크, 서비스, 운영 전반에서 보안 요구사항이 기본적으로 충족될 수 있어야 한다. IoT 보안 내재화는 IoT 서비스 전체를 재설계해야 하기 때문에 쉽지 않다. 리소스가 작은 기기까지 보안을 내재화 하기 위해서는 초경량 보안 기술이 필요하며, 보안에 대한 이해가 없는 사람이나 제조사들도 쉽게 적용할 수 있도록 제공해야 한다. 초연결 환겨에서 서비스가 가능하도록 서비스에 영향을 주지 않도록 하는 것도 필요하다.

이 같은 요구를 만족시킬 수 있는 보안 기술이 하나씩 모습을 드러내고 있다. 우선 칩 벤더들이 경량화된 보안칩을 출시하면서 IoT 기기 보안을 책임지고 있다. 보안칩은 기기 및 서비스 인증, 무결성을 제공하며, CPU의 보안 기능을 나누기 때문에 CPU 부하를 줄이면서 IoT 기기를 안전하게 운용할 수 있게 한다. 국내 보안칩 벤더는 eWBM, 네오와인, ICTK 등이 있다. 글로벌 칩 벤더들은 대부분 보안칩을 생산하는데, 맥심인터그레이티드, 인피니언, ST마이크로 등이 국내에서 활발하게 활동하고 있다.

시큐리티플랫폼은 OS 없는 기기를 보호하는 기술을 모아 SDK로 제공한다. 보안 전문성이 없는 제조업체라도, 기존 설계 변경 부담을 줄이면서 디바이스 인증, 복제 방지, 펌웨어 보호, 시큐어 부트, 통신 데이터 암호화와 기밀성, 무결성 보장, 소스코드 취약점 제거 등의 기술을 플랫폼으로 제공한다.

시큐리티플랫폼은 현재 스마트미터 보안 기술을 제공, 국내 여러 곳에서 시범사업을 전개하고 있으며, 스마트미터 보안 솔루션 중 세계 최초로 PSA 레벨 1 인증을 획득했다. PSA는 칩 제조사, OS 개발사, 디바이스 제조사를 위한 다단계 보안평가 체계로, 연결된 장치의 신뢰를 보장한다. 2019년 2월 시작했으며, 완성된 디바이스에 대한 인증은 시큐리티플랫폼이 처음으로 받았다.

IoT 기기 무결성 유지 기술 필수

IoT 기기를 노리는 악성코드에 대한 문제도 시급히 해결해야 할 과제로 지적된다. 봇넷에 감염된 IoT 기기가 디도스 공격에 이용되고 데이터 유출 사고를 일으킨다. IoT 악성코드 차단을 위한 전용 샌드박스도 등장했다. 악성코드 행위를 수집해 가상머신에서 실행시켜보는 방식으로 위협을 차단한다.

시큐리온은 시그니처와 AI를 이용해 IoT 악성코드를 탐지·차단한다. 시큐리온의 ‘온(On)’ 브랜드는 안드로이드 기기를 보호하는 ‘OnAV’와 스마트TV를 위한 ‘OnAV for TV’, 스마트워치를 위한 ‘OnAV for Wear OS’ 등이 있다. 클라우드 기반 머신러닝 엔진을 통해 모바일·스마트 기기의 한정된 자원 환경에서도 고급 위협 분석이 가능하다. 시큐리온 머신러닝 엔진은 AV테스트, AV컴패러티브, PCSL, GS 인증 등 국내외 인증을 획득했으며 MRG 에피타스 평가에서 2회 연속 종합 탐지율 100%를 기록했다.

전체 IoT 서비스에서 가장 중요한 보안 요구사항은 ‘인증’이다. 기기·사용자, 통신·네트워크, 서비스, 애플리케이션, 펌웨어 업데이트, 데이터 암호화 등 IoT의 모든 단계에서 인증이 필요하다. 인증 전문기업 디지서트는 사용자·기기 인증, 데이터 암호화, 데이터·시스템 무결성 인증을 위한 PKI 플랫폼을 제공하며, 다양한 산업을 위한 PKI 표준과 기술을 제공한다.

국내 IoT 보안 전문 기업 그린존시큐리티는 스마트 경량 암호화 솔루션과 네트워크 보안 솔루션, 경량 IoT PKI 솔루션을 제공, IoT 환경을 보호한다. 그린존시큐리티는 대구시 ‘스마트홈 라이프케어 서비스 개발 및 실증 사업’에 참여, 독거노인 댁내에서 수집되는 모든 IoT 디바이스 데이터에 대한 보안을 강화하여 라이프케어 서비스를 제공한다.

IoT 활용 서비스 중 가장 광범위하게 사용되는 것은 CCTV다. CCTV가 없는 곳이 없을 정도로 우리나라의 CCTV 배포범위는 매우 넓다. 그러나 CCTV 보안 기술은 미비한 상황이다. 접근통제는 커녕 비밀번호 관리조차 제대로 되어있지 않다. 그래서 휴네시온, 시큐어가드 등 보안기업들은 CCTV 접근통제와 비밀번호 관리 시스템을 제안하면서 CCTV 보안에 적극 나서고 있다.

파이오링크는 CCTV 비밀번호 관리 뿐 아니라 CCTV의 침입 탐지 제어까지 가능한 전용 보안 스위치를 출시하면서 시장 확대에 나섰다. ‘티프론트 CCTV 전용 클라우드 보안스위치’는 산업용 스위치에 랜섬웨어, 봇 공격 확산 차단 등 내부 네트워크 보안 기능을 담았다. 공항, 지자체, 공공기관 등에서 사용하고 있고, OT 망을 위한 전용 스위치도 출시하면서 IoT·OT 보안에도 적극 나설 계획이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.