CCTV 용 VPN·NFT·메타버스 등 새로운 보안 분야 개척
[데이터넷] 최근 국가정보원이 러시아와 정보공유를 통해 전 세계 72개국 IoT 장비 1만1700대에 모지 봇넷이 감염돼 있다는 사실을 밝혀내고 조치를 취했다는 사실이 알려졌다. 모지 봇넷은 글로벌 시장에서 가장 많이 사용되는 네트워크 게이트웨이와 DVR, 무선 공유기 등을 통해 유포되며, 디도스, 암호화폐 채굴, 정보유출 등의 공격에 이용된다.
봇넷은 보안이 취약한 IoT 기기를 주로 노리기 때문에 수많은 기기가 연결되는 초연결 시대에 더 심각한 위협에 악용된다. 감염된 IoT 기기는 사생활 및 정보 유출, 디도스 공격, 크리덴셜 스터핑 등 계정정보 유출 등에 사용하며, IoT 기기와 연결된 중요 시스템을 공격하기 위한 발판으로도 사용한다.
그래서 IoT 기기 보안이 매우 중요한데, OS가 없는 IoT 기기는 보안 솔루션을 설치할 수 없으며, 보안에 사용할 수 있는 리소스가 없거나 극히 제한적이기 때문에 보안 정책을 마련하기 어렵다. 또 제조 원가에 민감해 원가상승 요인이 큰 보안을 적용하는 것이 경쟁력을 악화시킬 수 있다는 두려움도 있으며, 제조사에 보안 전문성이 없어서 기기 보안 기술을 적용하는 것도 쉽지 않다.
ICTK CTO인 강봉호 전무는 “연결성이 높은 IoT 기기를 생산하기 위해 보안칩, 통신모듈 칩, OS, 보안관리 솔루션을 따로 구매하거나 외주개발하는 현재 IoT 개발 방식은 보안에 매우 취약하다. 공급망 전반을 관리하지 못하며, 기기가 감염됐다는 사실도, 어떻게 감염됐는지도 파악하기 힘든 상황”이라며 “하드웨어 단에서부터 보안을 적용하지 않으면 IoT는 무방비로 공격 당할 가능성이 높다”고 말했다.
“보안 걱정 없는 IoT 세상 기여”
ICTK홀딩스는 PUF 기술을 기반으로 한 보안칩으로 IoT 기기를 보호할 수 있다고 강조한다. PUF는 반도체 생산 과정에서 칩 마다 미세한 하드웨어 특성이 남는데, 이를 난수로 사용해 보안키를 생성하는 기술이다. 반도체 칩의 ‘지문’이라고 이해하면 쉽다. ICTK는 세계 최초로 PUF를 이용한 RoT 칩을 생산, 상용화에 성공한 기업이다.
ICTK PUF 기술은 LG U+의 홈CCTV, AP, USIM, KT의 5G 에그 등에 탑재돼 있다. PUF를 USB 타입으로 제작한 시큐리티 토큰이 두산로보틱스 제품의 보안을 위해 사용되고 있으며, 블록체인 기반 서비스에도 데이터 조작 방지를 위해 사용되고 있다.
ICTK는 IoT 보안을 위해 이동통신 3사에 무선구간 암호화와 보안이 적용된 통신을 하드웨어 RoT인 PUF 기반 보안칩으로 제공하고 있으며, 이외에도 LTE 모뎀 기반 모듈 제조사, UI 디자인 기업, 네트워크 장비 기업 등 다양한 IT 및 하드웨어 기업과 협력하고 있다.
최근 IoT 보안을 위해 다양한 난수생성 기술이 등장하고 있는데, PUF는 제품마다 가진 고유한 키이며, 난수는 암·복호화 시 패턴을 파악할 수 없는 예측 불가능한 값을 제공하는 기술이다. ICTK의 PUF가 독특하고 랜덤한 특성을 갖는 난수값을 갖는다고 주장한다. 또한 ICTK도 NIST 엔트로피 적정성을 만족시키는 난수생성기(TRNG)를 보유하고 있어 IoT 기기 보안을 한층 강화한다고 설명했다.
더불어 양자난수생성기(QRNG) 기술기업 IDQ와 Q-PUF를 공동개발하고 있으며, 한양대와 국제공인향 PQC IP화 디자인을 확보하는 등 난수생성 및 양자암호화 분야에서도 기술 혁신을 이끌고 있다.
강봉호 전무는 “ICTK는 보안 걱정 없는 IoT 세상에 기여하기 위해 PUF 기반 IoT 보안 기술을 개발, 발전시키고 있다. 초연결시대를 위한 RoT 하드웨어 보안칩으로 가장 높은 수준의 보안을 지원, 안전하고 편리한 스마트 환경을 이용할 수 있도록 돕는다”고 말했다.
IoT 보안 전문가 양성 시급
지금까지 ICTK는 기기·설비 제조사, 통신사 및 서비스 기업에 기술을 제공해왔지만, 이제는 직접 보안 제품을 제공한다는 계획을 밝힌다. 고용량 데이터 처리가 필요한 CCTV용 VPN이 첫번째 타깃 시장으로, 공공 행정망 시장 진출에 이어 민간 시장까지 확대할 계획을 갖고 있다.
SoC칩, IP 분야 양산칩을 설계하고 있으며, 양자암호화 능과 차세대 양자 암호화 기능이 내장된 RoT칩을 준비하고 있으며, 글로벌 시장 진출에도 나선다. LTE기반 모듈 지원과 eSIM 모듈 소프트웨어 안정성 확보, KCMVP 인증 등을 올해 진행할 예정이다.
더불어 솔루션 부문에서 NFT, 메타버스 보안을 위한 인증(Authentication)과 자격검증, 소유권 보장 등을 준비하고 있으며, 클라우드 기반 시큐어 FOTA (Secure Firmware Over the Air)를 온프레미스 형태로 구축할 수 있도록 지원한다는 계획도 밝혔다.
강봉호 전무는 “지난해 월패드 해킹이 전 사회에 IoT 보안 문제를 환기시키는 요인이 됐다. 가정용 CCTV 해킹 등 우리 생활을 편리하게 만들어주는 도구가 침해 받는다면 큰 문제가 될 것이다. 산업용·군사용 IoT 기기는 더 심각한 위협이 될 것”이라며 “IoT 보안 시장은 2026년까지 연평균 22.1% 성장한 403억달러 규모로 추정한다. IoT 보안 시장 성장을 촉진할 수 있도록 여러 사업자, 제조사와 협력하고 자체 개발기술을 상용화하면서 안전한 IoT 세상을 만들 수 있도록 노력하겠다”고 말했다.
이어 그는 “하드웨어 단의 IoT 보안은 SoC와 보안에 대한 전문성이 있어야 하는데, 이러한 전문성을 가진 인력풀이 너무 적고, 한 해 배출되는 신규인력도 매우 적다. 인력 양성과 더불어 새로운 기술을 가진 SoC를 설계하고 제품을 만드는 기업의 성장시키고 글로벌 시장에서 의미 있는 성과를 거둘 수 있는 수준으로 성장하기 위해서는 기업이 인력과 기술 개발에 막대한 자금을 투자해야 한다”며 “정부 과제 등을 통한 기술개발 지원과 인력양성 지원이 함께 있어야 시장이 성공적으로 성장할 수 있을 것”이라고 말했다.
